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融 言 
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信息 系统 是 重要 的 ,重要 的 系统 需要 特别 保护 ;计算 机 信息 系统 是 复杂 的 ,复杂 的 系统 
是 脆弱 的 ,脆弱 的 系统 也 需要 特别 保护 ;计算 机 信息 系统 是 虚拟 的 ,虚拟 的 系统 给 安全 保护 
带 来 很 大 困难 ;现代 信息 系统 是 开放 的 ,开放 的 系统 会 带 来 更 多 的 风险 。 重 要 、 复 杂 、 虚 拟 和 
开放 ,也 给 人 们 带 来 研究 的 乐趣 和 商业 机 会 。 现 在 信息 系统 安全 技术 和 产品 已 经 大 量 涌现 ， 
并 且 还 在 不 断 发 展 。 

本 书 的 目的 是 介绍 计算 机 信息 系统 安全 原理 。 作 为 一 本 原理 类 的 教材 ,关键 的 问题 是 
要 梳理 成 合理 而 又 容易 理解 和 掌握 的 体系 。 在 教学 实践 中 ,笔者 反复 探索 ,将 安全 理论 梳理 
成 如 下 3 大 类 : 

(1) 攻防 技术 。 恶 意 程 序 、 网 络 攻 击 ( 黑 客 )、 隔离 (逻辑 隔离 一 一 防火 墙 、 物 理 隔 离 和 电 
磁 防 护 ) .安全 监控 (CIDS、 网 络 诱骗 和 审计 ) .紧急 响应 和 取证 。 

(2) 安全 信任 体系 。 加 密 与 信息 隐藏 .认证 .安全 协议 。 

(3) 安全 体系 结构 和 评估 标准 。 

这 样 的 梳理 基本 上 完 括 了 几乎 所 有 的 安全 技术 ,并 且 较 为 本 质 。 

在 内 容 的 安排 上 ,考虑 了 如 下 原则 : 

(1) 尽量 把 与 其 他 技术 或 概念 相关 的 内 容 排 在 后 面 , 即 与 其 他 内 容 相 关 最 少 的 排 在 最 
前 面 。 

(2) 将 能 引起 兴趣 的 内 容 排 在 前 面 :以 使 学 习 者 能 有 成 就 感 。 

(3) 把 安全 体系 结构 和 安全 等 级 放 在 最 后 ,这 样 不 仅 使 其 内 容 容易 理解 ,而 且 也 是 对 前 
面 内 容 的 总 结 和 提高 。 

在 内 容 的 取舍 上 采取 的 原则 是 :重点 内 容 详 细 介 绍 ,次 要 内 容 只 做 一 般 介绍 。 

本 书 每 章 最 后 都 配备 了 较 多 的 习题 。 这 些 习 题 有 不 同 的 类 型 : 

。 有 些 要 思考 .总 结 ; 

。 有 些 要 进一步 理解 ; 

。 有 些 要 自己 想象 ; 

。 有 些 要 查找 资料 ; 

。 有 些 要 动手 实验 。 

本 书 的 第 1 版 正 是 基于 这 些 考 虑 而 形成 的 。 
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常言 道 :“ 道 高 一 尺 , 魔 高 一 丈 ”。 信 息 系统 安全 是 针对 入 侵 和 攻击 采取 的 一 系列 安全 
策略 和 技术 。 然 而 ,按照 木 桶 原理 , 当 一 块 短 的 木板 被 加 长 后 , 另 一 块 次 短 的 木板 就 变 成 最 
下 


短 的 木板 了 ;而 一 种 攻击 被 防御 之 后 ,新 的 攻击 又 会 出 现 。 在 这 个 充满 竞争 的 世界 里 ,攻击 
与 防御 相伴 而 生 并 且 永 不 会 完结 , 攻 与 防 的 博弈 将 在 竞争 中 永 无 止境 。 一 般 说 来 ,防御 往往 
要 比 攻击 付出 更 多 的 代价 ,这 是 因为 

。 攻击 可 以 择机 发 起 ,防御 必须 随时 警惕 。 

。 攻击 可 以 选择 一 个 薄弱 点 实施 ,防御 必须 全 线 设防 。 

。 攻击 一 般 使 用 一 种 或 几 种 技术 ,防御 则 需要 考虑 已 知 的 所 有 技术 。 

。 攻击 可 以 肆意 进行 ,防御 必须 遵循 一 定 的 规则 。 

社会 总 在 发 展 ,技术 总 在 进步 ,攻击 与 防御 也 在 博弈 中 相互 促进 。 信 息 系 统 安全 作为 一 
门 新 兴 的 技术 和 学 科 , 在 本 书 第 1 版 出 版 后 的 近 7 年 间 , 又 有 了 长 足 的 发 展 。 在 读者 和 出 版 
社 的 不 断 呼吁 下 ,笔者 下 大 力气 进行 全 面 修订 。 

教材 不 是 一 般 科 技 书 , 在 编写 过 程 中 首先 要 考虑 如 何 教 的 问题 。 为 了 更 适应 教学 ,第 2 
版 按照 “威胁 (第 1 章 ) 一 防护 (第 2 一 4 章 ) 一 管理 (第 5 章 )” 的 体系 进行 组 织 。 这 相当 于 “ 提 
出 问题 一 解决 问题 一 总 结 提高 ”的 思路 。 经 过 本 人 一 个 学 期 的 试 讲 , 效 果 不 错 。 

同时 ,本 书 还 在 内 容 上 进行 了 删 增 。 删 除了 已 经 不 再 使 用 的 技术 ,如 DES 加 密 算 法 等 ; 
增添 了 新 技术 的 内 容 , 如 AES 密码 ` 流 密码 .僵尸 网 络 等 。 

对 信息 系统 的 攻击 种 类 繁多 ,形式 多 样 , 但 概括 起 来 不 外 乎 两 个 方面 :非法 窃取 和 使 系 
统 异 常 。 


《三 》 


虽然 本 人 认为 第 2 版 比 第 1 版 有 了 不 少 改 进 ,但 个 人 能 力 和 客观 条 件 有 限 , 加 之 社会 还 
在 发 展 ,技术 还 在 进步 ,在 这 个 新 的 社会 重要 领域 中 还 会 出 现 许 多 新 的 问题 和 解决 方案 , 因 
此 修订 应 当 是 一 个 长 期 的 工作 。 在 本 书 第 2 版 即将 出 版 之 际 , 囊 心地 希望 读者 和 有 关 专 家 
能 不 音 指正 ,以 便 适当 的 时 候 再 进一步 修订 。 

在 本 书 ( 包 括 第 1 版 ) 的 编写 过 程 中 .得 到 赵 忠 孝 (福州 外 语 外 贸 学 院 ) 以 及 张 秋 菊 、 董 兆 
军 、 张 展 为 、 张 友 明 、 史 林 娟 、 张 展 赫 、 戴 璐 、 刘 诗 瑾 、 雇 伟 国 以 及 我 的 研究 生 陶 利 民 、 将 中 云 、 
王 玉 斐 . 魏 士 婧 、 董 瑜 的 不 少 帮助 ,在 此 谨 向 他 们 表示 感谢 。 

本 书 在 编写 过 程 中 还 参考 了 大 量 资料 。 这 些 资料 有 的 引 自 国内 外 论文 ,有 的 引 自 其 他 
著作 ,有 的 引 自 网 站 。 虽 本 人 尽心 在 参考 文献 中 予以 列 出 ,但 仍 会 有 许多 玻 漏 , 同 时 也 受 篇 
幅 所 限 ,未 能 将 所 有 参考 资料 一 一 列 出 。 在 此 谭 向 有 关 作 者 致谢 。 


张 基 温 
2014 年 8 月 
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第 1 章 信息 系统 安全 威胁 


信息 系统 安全 威胁 (thread) 是 指 对 于 信息 系统 的 组 成 要 素 及 其 功能 造成 某 种 损害 的 潜 
在 可 能 。 信 息 系 统 是 现代 社会 中 的 重要 系统 ,重要 系统 往往 正 是 攻击 者 的 首选 目标 ;信息 系 
统 也 是 一 个 复杂 的 系统 ,复杂 系统 所 具有 的 神秘 性 往往 会 刺激 好 奇 者 ` 好 胜 者 和 恶作剧 者 的 
攻击 兴趣 ,并 且 其 本 身 也 有 过 多 的 脆弱 。 

攻击 可 能 以 获取 系统 中 的 信息 为 目的 一 一 信息 窃取 型 攻击 ,也 可 能 使 系统 无 法 正常 运 
行 一 一 系统 破坏 型 攻击 ,还 可 能 控制 系统 ,让 系统 成 为 其 帮凶。 

从 形式 上 看 ,攻击 大 致 有 如 下 3 种: 

(1) 恶意 代码 攻击 ,包括 病毒 、 特 洛 伊 木马 、 蠕 虫 、 细 菌 、 陷 门 和 逻辑 炸弹 等 。 

(2) 窃听 攻击 ,包括 声波 窃听 、 电 磁 波 窃听 、 光 缆 监 听 、 手 机 窃听 和 网 络 窃听 。 
(3) 黑客 攻击 ,包括 消息 采集 攻击 代码 漏洞 攻击 、 欺骗 和 会 话 劫持 攻击 、 分 布 式 攻 
击 等 。 

本 章 介 绍 这 些 攻击 的 各 种 具体 表现 。 


1.1 计算 机 病毒 


在 生物 学 界 , 病 毒 Cvirus) 是 一 类 没有 细胞 结构 ,但 有 遗传 .复制 等 生命 特征 ,主要 由 核 
酸 和 蛋白质 组 成 的 有 机 体 。 计 算 机 病毒 (compnuter virus) 是 有 与 生物 界 中 的 病毒 极为 相似 
特征 的 程序 。 在 4 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 ,病毒 代码 被 明确 定义 
为 “计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 .影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

通常 ,人 们 也 简单 地 把 计算 机 病毒 定义 为 : 利用 计算 机 软件 与 硬件 的 缺陷 ,破坏 计算 机 
数据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 。 更 广义 地 说 ,凡是 能 够 引起 计算 机 
故障 ,破坏 计算 机 数据 的 程序 代码 都 可 称 为 计算 机 病毒 。 


1.1.1 病毒 的 特征 
1. 传染 性 


传染 是 病毒 最 本 质 的 特征 之 一 ,是 病毒 的 再 生机 制 。 生 物 界 的 病毒 可 以 从 一 个 生物 体 
传播 到 另 一 个 生物 体 ,病毒 也 可 以 从 一 个 程序 .部件 或 系统 传播 到 另 一 个 程序 、 部 件 或 系统 。 
在 单机 环境 下 ,病毒 的 传染 基本 途径 是 通过 磁盘 引导 扇 区 、 操 作 系 统 文件 或 应 用 文件 进行 传 
染 ; 在 网 络 中 ,病毒 主要 是 通过 电子 邮件 、Web 页 面 等 特殊 文件 和 数据 共享 方式 进行 传染 。 

一 般 将 传染 分 为 被 动 传染 和 主动 传染 。 通 过 网 络 传播 或 文件 复制 ,使 病毒 由 一 个 载体 
被 携带 到 另 一 个 载体 , 称 为 被 动 传染 。 病毒 处 于 激活 状态 下 ,满足 传染 条 件 时 ,病毒 从 一 个 

». 1] 。 


载体 自我 复制 到 另 一 个 载体 , 称 为 主动 传染 。 

从 传染 的 时 间 性 上 看 ,传染 分 为 立即 传染 和 伺机 传染 。 病 毒 代码 在 被 执行 瞬间 , 抢 在 宿 
主 程序 执行 前 感染 其 他 程序 , 称 为 立即 传染 。 病 毒 代 码 驻 留 内 存 后 , 当 满 足 传染 条 件 时 才 感 
染 其 他 程序 , 称 为 伺机 传染 。 


2. 潜伏 性 与 隐蔽 性 


病毒 一 旦 取得 系统 控制 权 , 可 以 在 极 短 的 时 间 内 传染 大 量程 序 。 但 是 ,被 感染 的 程序 并 
不 是 立即 表现 出 异常 ,而 是 潜伏 下 来 ,等 待 时 机 。 

病毒 的 潜伏 性 还 依赖 于 其 隐蔽 性 。 为 了 隐蔽 ,病毒 通常 非常 短小 ,一 般 只 有 几 百 字 节 或 
上 千 字 节 , 此 外 还 寄生 于 正常 的 程序 或 磁盘 较 隐 项 的 地 方 ,: 也 有 个 别 以 隐 含 文件 形式 存在 ， 
不 经 过 代码 分 析 很 难 被 发 觉 。 


3. 寄生 性 


寄生 是 病毒 的 重要 特征 。 病 毒 实际 上 是 一 种 特殊 的 程序 ,必然 要 存储 在 磁盘 上 ,但 是 病 
毒 为 了 进行 自身 的 主动 传播 ,必须 使 自身 寄生 在 可 以 获取 执行 权 的 寄生 对 象 一 一 宿主 程 
序 上 。 

就 目前 出 现 的 各 种 病毒 来 看 ,其 寄生 对 象 有 两 种 :一 种 是 寄生 在 磁盘 引导 扇 区 ; 另 一 种 
是 寄生 在 可 执行 文件 (. EXE 或 . COM) 中。 这 是 由 于 不 论 是 磁盘 引导 扇 区 还 是 可 执行 文 
件 , 它 们 都 有 获取 执行 权 的 可 能 ,这 样 病毒 寄生 在 它们 的 上 面 ,就 可 以 在 一 定 条件 下 获得 执 
行 权 ,从 而 使 病毒 得 以 进入 计算 机 系统 .并 处 于 激活 状态 ,然后 进行 病毒 的 动态 传播 和 破坏 
活动 。 对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ,病毒 引导 程序 占有 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系统 引导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ,病毒 引导 模块 就 会 自动 地 
装 入 内 存 并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 代码 的 传染 模块 和 发 作 模块 装 和 内存 
的 适当 位 置 ,并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ,接着 对 该 两 个 模块 设 定 某 
种 激活 方式 ,使 之 在 适当 的 时 候 获 得 执行 权 。 处 理 完 这 些 工作 后 ,病毒 引导 模块 将 系统 引导 
模块 装 入 内 存 , 使 系统 在 带 毒 状 态 下 运行 。 对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ,病毒 一 般 
通过 修改 原 有 可 执行 文件 ,使 该 文件 一 执行 就 先 转 和 人 病毒 引导 模块 。 该 引导 模块 也 完成 把 
病毒 的 其 他 两 个 模块 驻 留 内 存 及 初始 化 的 工作 ,然后 把 执行 权 交 给 执行 文件 ,使 系统 及 执行 
文件 在 带 毒 的 状态 下 运行 。 

病毒 的 寄生 方式 有 两 种 ,一 种 是 替代 法 ; 另 一 种 是 链接 法 ,所 谓 替 代 法 是 指 病毒 用 自己 
的 部 分 或 全 部 指令 代码 替代 磁盘 引导 扇 区 或 文件 中 的 全 部 或 部 分 内 容 。 所 谓 链接 法 则 是 指 
病毒 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 ,病毒 链接 的 位 置 可 能 
在 正常 程序 的 首部 .尾部 或 中 间 ,寄生 在 磁盘 引导 扇 区 的 病毒 一 般 采 取 替 代 法 ,而 寄生 在 可 
执行 文件 中 的 病毒 一 般 采 用 链接 法 。 


4. 非 授权 执行 性 


一 个 正常 的 程序 是 由 用 户 调用 的 。 被 调用 时 ,要 从 系统 获得 控制 权 ,得 到 系统 分 配 的 相 
应 资源 ,来 实现 用 户 要 求 的 任务 的 。 病 毒 虽 然 具 有 正常 程序 所 具有 的 一 切 特性 ,但 是 其 执行 
六 地 和 


是 非 授权 进行 的 : 它 隐蔽 在 合法 程序 和 数据 中 , 当 用 户 运 行 正常 程序 时 ,病毒 伺机 取得 系统 
的 控制 权 , 先 于 正常 程序 执行 ,并 对 用 户 呈 透明 状态 。 


5. 可 触发 性 


潜伏 下 来 的 病毒 一 般 要 在 一 定 的 条 件 下 才 被 激活 ,发 起 攻击 。 病 毒 具有 判断 这 个 条 件 
的 功能 。 下 面 列举 一 些 病 毒 的 触发 (激活 ) 条 件 。 

(1) 日 期 /时 间 触 发 : 病毒 读 取 系 统 时 钟 ,判断 是 否 激活 。 例 如 , “黑色 星期 五 ”着 13 日 
的 星期 五 发 作 等 ,CIH-1. 2 版 于 每 年 的 4 月 26 日 发 作 ,CIH-1.3 则 在 6 月 26 日 发 作 ,CIH- 
1.4 的 发 作 日 期 则 为 每 个 月 的 26 日。 

(2) 计数 器 触发 : 病毒 内 部 设 定 一 个 计数 单元 ,对 系统 事件 进行 计数 ,判定 是 否 激活 。 
例如 ,2708 病毒 当 系 统 启动 次 数 达 到 32 次 时 被 激活 ,发 起 对 串 、 并 口 地 址 的 攻击 。 

(3) 键 触发 : 当 输 入 某 些 字符 时 触发 (如 AIDS 病毒 ,在 输入 A、I.D.、S 时 发 作 ) .或 以 击 
键 次 数 ( 如 Devil"s Dance 病毒 在 用 户 第 2000 次 击 键 时 被 触发 ) 或 按键 组 合 等 为 激发 条 件 
(如 Invader 病毒 在 按 下 Ctrl 十 Alt 十 Del 键 时 发 作 ) 。 

(4) 启动 触发 : 以 系统 的 启动 次 数 作为 触发 条 件 。 例 如 ,AntrTei 和 Telecom 病毒 当 
系统 第 400 次 启动 时 被 激活 。 

(5) 感染 触发 : 以 感染 文件 个 数 .感染 序列 .感染 磁盘 数 或 感染 失败 数 作为 触发 条 件 。 
例如 ,Black Monday 病毒 在 运行 第 240 个 染 毒 程序 时 被 激活 ;VHP2 病毒 每 感染 8 个 文件 
就 会 触发 系统 热 启动 操作 等 。 

(6) 条 件 触发 : 用 多 种 条 件 综合 使 用 ,作为 病毒 代码 的 触发 条 件 。 


6. 破坏 性 


破坏 性 体现 了 病毒 的 杀伤 能 力 。 大 多 数 病毒 还 具有 破坏 性 ,并 且 其 破坏 方式 总 在 花样 
翻新 。 常 见 的 病毒 破坏 性 有 以 下 几 个 方面 : 

(1) 占用 或 消耗 CPU 资源 以 及 内 存 空间 ,导致 一 些 大 型 程序 运行 受阻 ,系统 性 能 下 降 。 

(2) 干扰 系统 运行 ,例如 不 执行 命令 .干扰 内 部 命令 的 执行 、. 虚 发 报警 信息 、 打 不 开 文 
件 、 内 部 栈 溢出 、 占 用 特殊 数据 区 、 时 钟 倒转 、 重 启动 、 死 机、 文件 无 法 存盘 、 文 件 存 盘 时 丢失 
字 节 、 内 存 减 小 .格式 化 硬盘 等 。 

(3) 攻击 CMOS。CMOS 是 保存 系统 参数 (如 系统 时 钟 .磁盘 类 型 .内 存 容量 等 ) 的 重要 
场所 。 有 的 病毒 (如 CIH 病毒 ) 可 以 通过 改写 CMOS 参数 破坏 系统 硬件 的 运行 。 

(4) 攻击 系统 数据 区 。 硬 盘 的 主 引导 记录 、 分 区 引导 扇 区 、FAT( 文 件 分 配 表 )、 文 件 目 
录 等 是 系统 重要 的 数据 ,这 些 数据 一 旦 受 损 , 将 造成 相关 文件 的 破坏 。 

(5) 攻击 文件 。 现 在 发 现 的 病毒 中 ,大 多 数 是 文件 型 病毒 。 这 些 病毒 会 使 染 毒 文件 的 
长 度 、 文 件 存 盘 时 间 和 日 期 发 生变 化 。 

(6) 干扰 外 部 设备 运行 ,如 封锁 键盘 、 产 生 换 字 、 抹 掉 缓 存 区 字符 、 输 入 闪 乱 、 使 屏幕 显 
示 混 乱 以 及 干扰 声响 .干扰 打印 机 等 。 

(7) 破坏 网 络 系统 的 正常 运行 ,例如 发 送 垃 圾 邮件 .占用 带宽 ,使 网 络 拒绝 服务 等 。 


1.1.2 病毒 的 分 类 
按照 不 同 的 分 类 标准 ,病毒 可 以 分 为 不 同 的 类 型 ,下面 介 绍 几 种 常用 的 分 类 方法 。 
1. 按照 所 攻击 的 操作 系统 分 类 
。 DOS 病毒 : 攻击 DOS 系统 。 
。 UNIX/Linux 病毒 : 攻击 UNIX 或 Linux 系统 。 
。 Windows 病毒 : 攻击 Windows 系统 ,如 CIH 病毒 。 


。 OS/2 病毒 : 攻击 OS/2 系统 。 
。 Macintosh 病毒 : 攻击 Macintosh 系统 ,如 Mac. simpsons 病毒 。 


。 手机 病毒 。 和 
。 网 络 病毒 。 : 引导 记录 
| ; 第 1 分 区 表 项 
2. 按照 寄生 位 置 分 类 el 7 
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引导 型 病毒 是 寄生 在 磁盘 引导 区 的 病 
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毒 。 图 1.1 显示 了 硬盘 的 多 辑 结构 。 可 以 ! 

看 出 ,磁盘 有 两 种 引导 区 : 主 引导 区 和 分 区 | 

的 引导 区 。 所 以 也 就 有 两 种 引导 型 病毒 | 

(1) MBR 病毒 ,也 称 主 引导 区 病毒 。! 

该 类 病毒 寄生 在 硬盘 主 引导 程序 所 占据 的 | 

硬盘 0 头 0 柱 面 第 1 个 扇 区 中 ,典型 的 病毒 | 

有 大 麻 病 毒 .2708 病毒 .火炬 病毒 等 。 

(2) BR 病毒 ,也 称 为 分 区 引导 病毒 。 | 本 | 
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该 类 病毒 寄生 在 硬盘 活动 分 区 的 逻辑 0 扇 ;| 
区 ( 即 0 面 0 道 第 1 个 扇 区 ) ,典型 的 病毒 有 
Brain 、 小 球 病 毒 、Girl 病毒 等 。 

2) 文件 型 病毒 

按照 所 寄生 的 文件 类 型 可 以 分 为 4 类 : 

(1) 可 执行 文件 , 即 扩展 名 为 COM、 
EXE、PE、BAT、SYS、OVL 等 的 文件 。 一 
旦 运行 这 类 病毒 的 载体 程序 .就 会 将 病毒 注 
入 安装 并 驻 留 在 内 存 中 ,伺机 进行 感染 。 
感染 了 该 类 病毒 的 程序 往往 会 减 慢 执行 速 
度 ,甚至 无 法 执行 。 
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(2) 文档 文件 或 数据 文件 ,例如 Word : Hi 
叉 档 、Exeel 文 粒 、Aecess 数据 库 文 件 。 寄 全 :二 


病毒 (Macro) 就 感染 这 些 文件 。 图 1.1 位 盘 逻 辑 结 构 
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(3) Web 文档 ,如 HTML 文档 和 HTM 文档 。 已 经 发 现 的 Web 病毒 有 HTMI/ 
Prepend 和 HTMI/Redirect 等 。 

(4) 目录 文件 ,如 DIR2 病毒 。 

3) 引导 兼 文件 型 病毒 

这 类 病毒 在 文件 感染 时 还 伺机 感染 引导 区 ,例如 CANCER 病毒 .HAMMER V 病 
毒 等 。 

4) CMOS 病毒 

CMOS 是 保存 系统 参数 和 配置 的 重要 地 方 , 它 也 存在 一 些 没 有 使 用 的 空间 。CMOS 病 
毒 就 隐藏 在 这 一 空间 中 ,从 而 可 以 躲避 磁盘 的 格式 化 清除 。 


3. 按照 是 否 驻 留 内 存 分 类 


1) 非 驻 留 Cnonresident) 病 毒 

非 驻 留 病毒 选择 磁盘 上 一 个 或 多 个 文件 ,不 等 它们 装 人 和 人 内存, 就 直接 进行 感染 。 

2) 驻 留 (resident) 病 毒 

驻 留 病毒 装 人 内 存 后 ,发 现 另 一 个 系统 运行 的 程序 文件 后 进行 传染 。 驻 留 病 毒 又 可 进 
一 步 分 为 以 下 几 种 : 

(1) 高 端 驻 留 型 。 

(2) 常规 驻 留 型 。 

(3) 内 存 控 制 链 驻 留 型 。 

(4) 设备 程序 补丁 驻 留 型 。 


4. 按照 病毒 形态 分 类 


(1) 多 态 病 毒 。 这 种 病毒 形态 多 样 。 它 们 在 复制 之 前 会 不 断 改变 形态 以 及 自己 的 特征 
码 ,以 躲避 检测 。 例 如 ,最 臭名 昭著 的 "红色 代码 ”病毒 几乎 每 天 变换 一 种 形态 。 

(2) 隐身 病毒 。 隐 身 病 毒 对 所 隐身 之 处 进行 修改 ,以 便 藏 身 。 分 为 两 种 情形 : 

。 规模 修改 : 病毒 隐藏 感染 一 个 程序 之 后 ,立即 修改 程序 的 规模 。 

。 读 修改 : 病毒 可 以 截获 已 感染 引导 区 记录 或 文件 的 读 请 求 并 进行 修改 ,以 便 隐藏 。 

(3) 闭 录 病毒 。 这 是 一 种 攻击 病毒 查 防 软件 的 病毒 。 分 为 3 种 攻击 方式 : 

。 关闭 病毒 查 防 软件 。 

。 绕 过 病毒 查 防 软件 。 

。 破坏 完整 性 校 验 软件 中 的 完整 性 数据 库 。 

(4) 外 壳 病 毒 。 这 种 病毒 为 自己 添加 一 层 保护 外 套 , 躲 过 病毒 查 防 软件 的 检测 、 跟 踪 和 
拆 纯 。 

(5) 伴随 病毒 。 这 种 病毒 首先 创建 可 执行 文件 .并 在 此 基础 上 扩展 ,以 便 抢先 执行 。 

(6) 叭 菌 体 病 毒 。 这 种 病毒 用 自己 的 代码 替代 可 执行 代码 ,可 以 破坏 接触 到 的 任何 可 
执行 程序 。 


5. 按照 感染 方式 分 类 
按照 感染 方式 ,文件 型 病毒 可 以 分 为 如 图 1. 2 所 示 的 几 种 类 型 。 


(1) 寄生 病毒 。 这 类 病毒 在 感染 的 时 候 , 将 病毒 代码 i 
加 入 正常 程序 之 中 ,原来 程序 的 功能 部 分 或 者 全 部 被 保 寄生 病毒 
留 。 根 据 病毒 代码 加 入 的 方式 不 同 ,寄生 病毒 可 以 分 为 空洞 利用 病毒 
头 寄 生 . 尾 寄生 ,中间 插 入 和 空洞 利用 4 种。 文 作弄 次 奏 | 时 迷 信守 

头 寄 生 是 将 病毒 代码 加 入 文件 的 头 部 。 具 体 有 两 种 de 


方法 : 一 种 是 将 原来 程序 的 前 面 一 部 分 复制 到 程序 的 最 

后 ,然后 将 文件 头 用 病毒 代码 覆盖 ;另外 一 种 是 生成 一 个 

新 的 文件 ,首先 在 头 的 位 置 写 上 病毒 代码 ,然后 将 原来 的 可 执行 文件 放 在 病毒 代码 的 后 面 
再 用 新 的 文件 替换 原来 的 文件 ,从 而 完成 感染 。 头 寄生 方式 适合 于 不 需要 重新 定位 的 文件 ， 
如 批 处 理 病毒 和 COM 文件 。 

尾 寄 生 是 将 病毒 代码 加 入 文件 的 尾部 , 避 开 了 文件 重 定位 的 问题 ,但 为 了 先 于 宿主 文件 
执行 ,需要 修改 文件 头 ,使 用 跳 转 指令 使 病毒 代码 先 执行 。 不 过 ,修改 头 部 也 是 一 项 复杂 的 
工作 。 

中 间 插 入 是 病毒 将 自己 插入 被 感染 的 程序 中 ,可 以 整 段 插入 ,也 可 以 分 成 很 多 段 , 靠 跳 
转 指 令 连接 。 有 的 病毒 通过 压缩 原来 的 代码 的 方法 保持 被 感染 文件 的 大 小 不 变 。 

空洞 利用 多 用 于 视窗 环境 下 的 可 执行 文件 。 因 为 视窗 程序 的 结构 非常 复杂 ,其 中 都 会 
有 很 多 没有 使 用 的 部 分 ,一 般 是 空 的 段 或 者 每 个 段 的 最 后 部 分 。 病 毒 寻 找 这 些 没有 使 用 的 
部 分 ,然后 将 病毒 代码 分 散 到 其 中 ,这样 就 实现 了 难以 察觉 的 感染 (著名 的 CIH 病毒 就 使 用 
了 这 种 方法 )。 

(2) 复 盖 病毒 。 这 种 病毒 的 手法 极其 简单 ,是 初期 的 病毒 感染 技术 , 它 仅 仅 直 接 用 病毒 
代码 替换 被 感染 程序 ,使 被 感染 的 文件 头 变 成 病毒 代码 的 文件 头 , 不 用 作 任何 调整 。 

(3) 无 入 口 点 病毒 。 这 种 病毒 并 不 是 真正 没有 入 口 点 ,在 被 感染 程序 执行 的 时 候 , 并 不 
立刻 跳 转 到 病毒 的 代码 处 开始 执行 ,病毒 代码 无 声 无 息 地 潜伏 在 被 感染 的 程序 中 ,可 能 在 非 
常 偶然 的 条 件 下 才 会 被 触发 ,开始 执行 。 采 用 这 种 方式 感染 的 病毒 非常 隐蔽 ,杀毒 软件 很 难 
发 现在 程序 的 某 个 随机 的 部 位 有 这 样 一 些 在 程序 运行 过 程 中 会 被 执行 到 的 病毒 代码 。 

大 量 的 可 执行 文件 是 使 用 C 语言 编写 的 ,这 些 程序 有 这 样 一 个 特点 ,程序 中 会 使 用 一 
些 基 本 的 库 函 数 , 比 如 字符 串 处 理 、 基 本 的 输入 输出 等 。 为 了 使 用 这 些 库 函 数 ,编译 器 会 在 
启动 用 户 开发 的 程序 之 前 增加 一 些 代码 对 库 进 行 初始 化 。 这 给 了 病毒 一 个 机 会 ,病毒 可 以 
寻找 特定 的 初始 化 代码 ,并 修改 这 段 代 码 的 开始 语句 ,使 得 执行 完 病 毒 之 后 再 执行 通常 的 初 
始 化 工作 。“ 纽 克 瑞 希 尔 " 病 毒 就 采用 了 这 种 方法 进行 感染 。 

(4) 伴随 病毒 。 这 种 病毒 不 改变 被 感染 的 文件 ,而 是 为 被 感染 的 文件 创建 一 个 伴随 文 
件 ( 病 毒 文 件 ) ,这 样 当 被 感染 文件 执行 的 时 候 , 实 际 上 执行 的 是 病毒 文件 。 

。6 。 


图 1.2 文件 型 病毒 分 类 


(5) 链接 病毒 。 这 类 病毒 将 自己 隐藏 在 文件 系统 的 某 个 地 方 , 并 使 目录 区 中 文件 的 
开始 簇 指 向 病毒 代码 。 这 种 感染 方式 的 特点 是 每 一 个 逻辑 驱动 器 上 只 有 一 份 病 毒 的 
副本 。 


6. 按照 破坏 能 力 分 类 


按照 破坏 能 力 可 将 病毒 分 为 以 下 几 种 类 型 。 

(1) 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 

(3) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 这 类 病毒 删除 程序 ,破坏 数据 ,清除 系统 内 存 区 和 操作 系统 中 重要 的 


1.1.3 病毒 的 基本 机 理 


病毒 一 般 会 有 如 下 4 种 状态 : 

(1) 潜伏 。 病 毒 处 于 休眠 状态 ,用 户 感觉 不 到 病毒 的 存在 。 不 过 ,有 些 病毒 也 可 能 没有 
潜伏 期 。 

(2) 感染 。 病 毒 感染 其 他 程序 。 一 般 感 染 需 要 一 定 的 条 件 。 


(3) 触发 。 病 毒 被 某 个 条 件 激活 ,系统 开始 为 和 
其 分 配 资源 。 感染 模块 

(4) 发 作 。 病 毒 开始 运 行 ,对 系统 形成 一 些 7 感染 功能 实现 子 模块 
宏和 表现 模块 ____--___- 

为 了 实现 上 述 4 种 存在 状态 间 的 变换 ,病毒 程 表现 条 件 判断 子 模块 1 表现 功能 实现 子 模块 
序 需要 有 如 图 1. 3 所 示 的 3 个 模块 : 引导 模块 、 感 图 1.3 病毒 的 基本 好 辑 结构 


染 模 块 和 表现 (破坏 ) 模 块 。 


1. 引导 模块 

1) 引导 模块 的 基本 功能 

引导 模块 也 称 主 控 模块 ,主要 实现 如 下 功能 。 

(1) 将 病毒 装 入 内 存 , 使 感染 和 破坏 (表现 ) 模 块 处 于 活动 的 状态 。 

(2) 保护 内 存 中 的 病毒 代码 不 被 覆盖 。 

(3) 设置 病毒 的 触发 条 件 。 

2) 引导 过 程 

(1) 检测 运行 环境 ,如 操作 系统 类 型 .内存 容量 现行 区 段 、 磁 盘 设 置 和 显示 器 类 型 等 。 
(2) 驻 留 内 存 。 自 身 的 程序 代码 引入 并 驻 留 在 内 存 中 。 


(3) 窃取 控制 权 。 取 代 或 扩充 系统 原 有 功能 ,并 窃取 系统 的 控制 权 , 设 置 病毒 的 激活 条 
i 


件 和 触发 条 件 ,使 病毒 处 于 可 激活 状态 ,为 感染 模块 做 准备 (如 驻 留 内 存 、 修 改 中 断 、 修 改 高 
端 内 存 、 保 存 原 中 断 向 量 等 操作 ) 。 

(4) 恢复 系统 功能 。 引 导 过 程 完成 之 后 ,病毒 为 了 隐藏 自己 ,等待 时 机 进行 感染 和 破 
坏 ,还 要 把 控制 权 交 还 给 系统 。 


3) 病毒 代码 引导 模块 的 算法 示例 


BootingModule(){ 

将 病毒 代码 寄生 于 宿主 程序 中 ， 

启动 自我 保护 功能 ; 

设置 感染 条 件 ; 

设置 表现 激活 条 件 ; 

宿主 程序 加 载 时 ,将 病毒 代码 加 载 到 内 存 ; 
} 


2. 感染 模块 

1) 病毒 感染 标志 

一 个 程序 感染 了 病毒 后 ,往往 会 携带 一 个 ASCII 码 形式 的 数字 或 字符 串 , 称 为 病毒 感 
染 标志 或 病毒 签名 。 不 同 的 病毒 ,其 感染 标志 的 位 置 和 内 容 不 同 。 

具有 感染 标志 的 病毒 在 进行 感染 时 ,一 般 要 查看 感染 对 象 是 否 已 经 带 有 感染 标志 , 若 
有 ,就 不 再 实施 感染 操作 。 和 杀毒 软件 也 常常 将 感染 标志 作为 病毒 的 特征 码 之 一 。 人 们 也 会 
利用 感染 标志 实现 病毒 免疫 。 不 过 ,病毒 制造 者 也 会 利用 感染 标志 实施 欺骗 ,并 且 有 一 些 病 
毒 没有 感染 标志 。 

2) 感染 模块 的 功能 

感染 机 制 的 作用 是 在 特定 的 感染 条 件 下 将 病毒 代码 复制 到 被 感染 的 目标 上 去 。 其 主要 
功能 包括 3 个 方面 : 

(1) 寻找 感染 目标 。 

(2) 测试 感染 条 件 是 否 满 足 。 

(3) 实施 感染 。 

3) 感染 模块 的 组 成 


感染 模块 由 以 下 两 个 子 模块 组 成 : 
(1) 感染 条 件 判 断 子 模块 。 依 据 引 导 模 块 设置 的 感染 条 件 ,判断 当前 系统 环境 是 否 满 
足 感染 条 件 。 


(2) 感染 功能 实现 子 模块 。 当 一 个 感染 条 件 满足 时 ,启动 感染 功能 ,将 病毒 代码 寄生 在 
其 他 宿主 程序 上 。 
4) 病毒 代码 感染 模块 的 算法 示例 


InfectingModule (){ 
实现 感染 目标 程序 的 功能 ; 


和 


3. 表现 模块 

1) 表现 模块 结构 

表现 机 制 的 作用 是 在 被 感染 系统 上 表现 出 特定 现象 ,主要 是 产生 破坏 被 感染 系统 的 行 
为 。 大 部 分 病毒 都 是 在 一 定 条 件 下 才 会 被 触发 而 发 作 。 表 现 模块 分 为 两 个 子 模 块 : 

(1) 表现 条 件 判 断 子 模块 。 依 据 引导 模块 设置 的 感染 条 件 ,判断 当 前 系统 环境 是 否 满 
足 表现 触发 条 件 。 

(2) 表现 功能 实现 子 模块 。 当 一 个 表现 条 件 满 足 时 ,启动 病毒 代码 的 表现 功能 ,产生 预 
定 的 效果 。 

2) 病毒 代码 表现 模块 的 算法 示例 

BehavingModule(){ 


实现 病毒 代码 的 表现 功能 ; 
‘ 


4. 病毒 代码 的 主 函 数 算法 


int main(){ 

BootingModule () 

while(1){ 
寻找 感染 目标 ; 
if (感染 条 件 不 满足 ) continue; 
InfectingModule (); 
if (表现 激活 条 件 不 满足 ) continue; 
BehavingModule(); 
if (病毒 代码 需要 退出 ) exit (); 


} 


1.1.4 引导 型 病毒 解析 


引导 型 病毒 是 寄生 在 主 引 导 区 和 分 区 引导 区 的 病毒 。 以 图 1. 1 所 示 的 硬 磁盘 的 分 区 结 
构 为 例 , 它 有 一 个 主 引导 扇 区 ,并 且 每 个 分 区 都 有 一 个 引导 扇 区 。 计 算 机 开始 工作 时 ,首先 
执行 的 是 引导 程序 。 因 此 ,引导 扇 区 先 于 其 他 程序 获得 对 CPU 的 控制 。 操 作 系 统 对 于 引 
We ee 而 是 依据 地 址 , 即 引 导 程 序 的 入口 地 址 是 放 在 引导 扇 区 的 某 
个 固定 地 方 。 竺 点 给 了 引导 型 病毒 一 个 机 会 : 它 可 以 偷梁换柱 ,将 自己 的 入 口 地 址 放 
ww ws。 这 样 , 当 系统 要 装载 引导 程序 时 ,实际 是 把 一 个 引导 型 病毒 
装载 到 内 存 中 。 为 了 隐蔽 自己 ,该 病毒 程序 在 自己 进入 内 存 后 ,再 把 引导 程序 装载 到 内 存 
中 。 这 样 ,病毒 程序 就 可 以 驻 留 内 存 , 监 视 系统 运行 ,伺机 传染 和 破坏 。 

按照 引导 型 病毒 在 硬盘 上 的 寄生 位 置 又 可 细 分 为 主 引导 记录 病毒 和 分 区 引导 记录 
病毒 。 

下 面 进 一 步 介 绍 引 导 型 病毒 的 工作 原理 。 

»。 0 。 


1. 引导 型 病毒 的 自 举 


引导 型 病毒 为 了 能 在 操作 系统 被 装 人 前 先 将 自己 装 入 ,会 先 把 BOOT 引导 程序 搬移 到 
另外 一 个 地 方 , 把 自己 的 引导 程序 放 在 磁盘 0 面 0 道 1 扇 区 :同时 修改 INT 13H 中 断 服务 
处 理 程 序 的 入 口 地 址 ,使 之 指向 病毒 引导 模块 。 这 样 , 当 系统 启动 ROM BIOS 之 后 ,依托 
BIOS 中 断 服务 程序 ,就 会 先 于 BOOT 执行 病毒 引导 程序 ,把 病毒 代码 装 入 内 存 , 监视 系 统 
的 运行 ,伺机 感染 插入 的 其 他 磁盘 。 

图 1. 4(a) 简 要 描述 了 正常 DOS 自 举 过 程 ,图 1. 4(b) 为 带 有 病毒 的 DOS 自 举 过 程 。 


(” 系统 加 电 或 复位 。”) 系统 加 电 或 复位 
进入 ROM BIOS 进入 ROM BIOS 
1 1 1 
读 引 导 程 序 至 内 存 引导 至 内 存 执行 病毒 引导 部 分 
0000:7C00H 并 执行 0000:7C00H， 并 执行 并 装载 病毒 代码 
1 1 
系统 复位 系统 复位 修改 中 断 向 量 
读 COMMAND.COM 读 COMMAND.COM 复制 病毒 /感染 磁盘 
到 内 存 到 内 存 


(a) 正常 DOS 自 举 (b) 带 病毒 DOS 自 举 
图 1.4 引导 型 病毒 的 一 次 活动 过 程 


2. 装 入 内 存 过 程 


(1) 系统 开机 后 ,进入 系统 检测 ,检测 正常 后 ,从 0 面 0 道 1 扇 区 ( 即 逻 辑 0 扇 区 ) 读 取 
信息 到 内 存 的 0000 一 7C00 处 。 
。 正 常 时 ,逻辑 0 扇 区 存放 的 是 BOOT 引导 程序 。 
。 操作 系统 感染 了 引导 扇 区 病毒 时 ,逻辑 0 扇 区 存放 的 是 病毒 引导 部 分 ,BOOT 引导 
程序 被 放 到 其 他 地 方 。 例 如 ,大 麻 病 毒 在 软盘 中 将 原 DOS 引导 扇 区 搬移 到 0 道 1 
面 3 扇 区 ,在 硬盘 中 将 原 DOS 引导 扇 区 搬移 到 0 道 0 面 7 扇 区 ;香港 病毒 则 将 原 
DOS 引导 扇 区 搬移 到 39 磁道 第 8 扇 区 ;Michelangelo 病毒 在 高 密度 软盘 上 是 第 27 
扇 区 ,在 硬盘 上 是 0 道 0 面 7 扇 区 。 
(2) 系统 开始 运行 病毒 引导 部 分 ,将 病毒 的 其 他 部 分 读 入 内 存 的 某 一 安全 区 , 常 驻 内 
存 ,监视 系统 的 运行 。 
(3) 病毒 修改 INT 13H 中 断 服务 处 理 程序 的 入 口 地 址 ,使 之 指向 病毒 控制 模块 并 执 
行 , 以 便 必要 时 接管 磁盘 操作 系统 的 控制 权 。 
BIOS INT 13H 调用 是 BIOS 提供 的 磁盘 基本 输入 输出 中 断 调用 ,可 以 完成 磁盘 (包括 
硬盘 和 软盘 ) 的 复位 . 读 写 、 校 验 、 定 位 .诊断 .格式 化 等 操作 。 它 采用 CHS 寻 址 ( 按 柱 面 、 磁 
sa 1 


头 、 扇 区 3 个 参数 寻 址 ,这 是 老 的 寻 址 方式 。 新 的 寻 址 方式 是 LAB, 即 线性 寻 址 ) ,最 大 访问 
能 力 为 8GB 左右 。 

(4) 病毒 代码 全 部 读 人 后 ,接着 读 和 正常 BOOT 内 容 到 内 存 0000:7CooH 处 ,进行 正常 
的 启动 过 程 ( 这 时 病毒 代码 已 经 全 部 读 和 内存, 不 再 需要 病毒 的 引导 部 分 ) 。 

(5) 病毒 代码 伺机 等 待 随时 感染 新 的 系统 盘 或 非 系 统 盘 。 


3. 攻击 过 程 


病毒 代码 发 现 有 可 攻击 的 对 象 后 ,要 进行 下 列 工作 : 

(1) 将 目标 盘 的 引导 扇 区 读 和 内存, 判断 它 是 否 感 染 了 病毒 。 

(2) 满足 感染 条 件 时 ,将 病毒 的 全 部 或 一 部 分 写 人 引导 区 ,把 正常 的 磁盘 引导 区 程序 写 
入 人 磁盘 特定 位 置 。 

(3) 返回 正常 的 INT 13H 中 断 服务 处 理 程序 ,完成 对 目标 盘 的 感染 过 程 。 


1.1.5 Win32 PE 文件 病毒 解析 
1. Win32 PE 文件 格式 


Win32 PE 文件 就 是 Win32(Windows 95/98/2000/XP) 环 境 下 的 PE 格式 的 可 执行 文 
件 。 为 了 了 解 病毒 对 它 的 感 当 机理, 首先 介绍 PE 文件 的 结构 和 运行 机 制 。PE 文件 的 格式 
如 图 1.5 所 示 。 


代码 调试 信息 (可 选 ) 

COFF 符 号 表 ( 可 选 ) 
COFF 符 号 表 符 号 个 数 ( 可 选 ) 

代码 调试 信息 (可 选 ) 


.reloc 段 
.idata 段 
.edata 段 
.data 段 
-text 段 
段 表 
数据 目录 


NTy 可 选 3 
头 jms 


PE\0\0 PE 文件 标志 
DOS stub 
DOS MZ 头 偏 移 


图 1.5 Windows PE 文件 格式 


eb 志 


PE(Portable Executable) 即 可 移植 的 执行 体 。 所 有 PE 文件 必须 以 一 个 具有 重 定 位 功 
能 的 可 执行 文件 格式 DOS MZ(MZ 是 主要 作者 Mark Zbikowski 的 名 字 的 缩写 ) 头 开始 。 
MZ 头 中 包括 各 种 说 明 数 据 , 如 第 一 句 可 执行 代 


码 执行 指令 时 所 需要 的 文件 入 口 点 .堆栈 的 位 置 、 er Un 
重 定位 表 等 ,操作 系统 根据 文件 头 的 信息 将 代码 重 定位 表 的 字 节 偏 移 量 

部 分 装 入 内 存 , 然 后 根据 重 定 位 表 修 正 代 码 ,并 在 重 定位 表 重 定位 表 
设置 好 堆栈 后 从 文件 头 中 指定 的 入 口 开 始 执行 。 可 重 定位 程序 映像 ” | 三 进 制 代码 


所 以 DOS 可 以 把 程序 放 在 任何 它 想 要 的 地 方 。 图 1.6 MZ 格式 的 可 执行 文件 的 简单 结构 
图 1.6 是 MZ 格式 的 可 执行 文件 的 简单 结构 示 
意图 。 

DOS stub 是 一 个 极 小 ( 几 百 个 字 节 ) 的 DOS 程序 ,用 于 输出 警告 ,如 “该 程序 不 能 在 
DOS 模式 下 运行 ?等 。 当 Win32 把 一 个 PE 文件 映像 加 载 到 内 存 时 ,内 存 映像 文件 的 第 一 
个 字 节 对 应 到 DOS Stub 的 第 一 个 字 节 。 

PE 头 长 度 为 1024B, 是 PE 文件 的 标志 。 执 行 体 在 支持 PE 文件 的 操作 系统 中 执行 时 ， 
PE 装载 器 将 从 DOS MZ 头 中 找到 PE 头 的 偏 移 量 。 

PE 文件 的 内 容 部 分 由 一 些 称 为 段 的 块 组 成 。 每 段 是 一 块 具 有 共同 属性 的 数据 。 段 数 
写 在 段 表 中 。 


2. PE 文件 的 装载 过 程 


(1) PE 文件 被 执行 时 ,PE 装载 器 检查 DOS MZ 头 中 的 PE 头 偏 移 量 ,找到 了 ,就 跳 转 
到 了 PE 头 。 

(2) PE 检查 器 检查 PE 头 的 有 效 性 。 若 有 效 ,就 跳 转 到 PE 头 的 尾部 。 

(3) 读 取 段 表 中 的 信息 ,通过 文件 映射 ,将 段 映射 到 内 存 , 同 时 附 上 段 表 中 指定 的 段 的 属性 。 

(4) PE 文件 映射 到 内 存 后 ,PE 装载 器 处 理 PE 文件 中 的 有 关 逻 辑 。 


3. 重 定位 


定位 主要 指 程序 中 数据 的 内 存 存 储 位 置 。 对 于 正常 的 程序 来 说 ,数据 的 内 存 存 储 位 置 
在 编译 时 就 已 经 计算 好 了 ,程序 可 按照 这 个 地 址 直接 装 入 。 而 病毒 代码 可 能 依附 在 宿主 程 
序 的 不 同位 置 , 当 病毒 随 着 宿主 程序 装载 到 内 存 后 ,病毒 中 数据 的 位 置 也 会 随 之 发 生变 化 。 
由 于 指令 是 通过 地 址 引用 数据 的 ,地 址 的 不 准确 将 导致 病毒 代码 的 不 正确 执行 。 为 此 ,有 必 
要 对 病毒 代码 中 的 数据 进行 重 定位 。 


4. 获取 API 函数 地 址 


在 Win32 环境 中 ,系统 功能 调用 不 是 通过 中 断 实现 ,而 是 通过 调用 API 函数 实现 。 因 

此 ,获取 API 函数 的 入 口 地 址 非常 重要 。 但 是 ,Win32 PE 病毒 与 普通 的 Win32 PE 程序 不 

同 。 普 通 的 Win32 PE 程序 里 有 一 个 引入 函数 表 ,程序 通过 这 个 表 可 以 找到 代码 段 中 所 用 

的 API 函数 在 动态 链接 库 中 的 真实 地 址 。 调 用 API 函数 时 ,可 以 通过 该 引入 函数 表 找 到 相 

应 API 函数 的 真正 执行 地 址 。 但 是 , Win32 PE 病毒 只 有 一 个 代码 段 ,并 不 存在 引入 函数 
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表 , 因 此 不 能 直接 用 真实 地 址 调用 API 函数 。 所 以 获取 API 地 址 是 病毒 的 一 个 重要 技术 。 
5. 其 他 机 制 


(1) 搜索 目标 文件 。 通 常 通过 两 个 API 函数 FindFirstFile 和 FindNextFile 实现 。 
(2) 内存 文件 映射 。 使 用 内 存 文件 映射 进行 文件 读 写 。 

(3) 感染 其 他 文件 。 

(4) 返回 到 宿主 程序 。 


1.1.6 病毒 防治 


狭义 的 病毒 对 抗 ,是 指 通过 建立 合理 的 病毒 防范 体系 和 制度 ,及 时 发 现 病毒 侵入 ,并 采 
取 有 效 的 手段 阻止 病毒 的 传播 和 破坏 ,恢复 受 影响 的 计算 机 系统 和 数据 。 广义 的 病毒 对 抗 
还 涉及 使 用 病毒 作为 武器 的 相互 攻击 和 防御 。 本 书 仅 讨 论 狭 义 的 病毒 对 抗 ,简单 地 说 ,就 是 
查 、 防 、 除 、 复 (恢复 ) 四 大 方面 。 


1. 病毒 的 预防 


病毒 防治 要 采取 预防 为 主 的 方针 。 下 面 是 一 些 行 之 有 效 的 措施 。 

(1) 对 新 购置 的 计算 机 硬 软件 系统 进行 测试 。 

(2) 单 台 计算 机 系统 的 安全 使 用 要 采取 以 下 措施 : 

。 在 一 台 计 算 机 中 使 用 在 其 他 计算 机 中 用 过 的 移动 存储 器 时 ,应 当先 对 其 进行 病毒 

检测 。 

。 对 重点 保护 的 计算 机 系统 应 做 到 专机 、 专 盘 、 专 人 专用。 

。 封闭 的 使 用 环境 中 是 不 会 自然 产生 病毒 代码 的 。 

(3) 对 于 网 络 计 算 机 系统 ,除了 要 首先 保证 自己 使 用 的 计算 机 的 安全 外 ,还 应 采取 下 列 
针对 网 络 的 防 杀 病毒 措施 : 

Q@ 安装 网 络 服务 器 时 ,应 保证 安装 环境 和 网 络 操作 系统 本 身 没有 感染 病毒 。 

@ 安装 网 络 服务 器 时 ,应 将 文件 系统 划分 成 多 个 文件 卷 系 统 。 一 旦 系统 卷 受 到 某 种 损 
伤 ,导致 服务 器 瘫痪 ,就 可 以 通过 重 装 系统 卷 ,恢复 网 络 操 作 系 统 , 使 服务 器 能 马上 投入 运 
行 ,而 装 在 共享 的 应 用 程序 卷 和 用 户 卷 内 的 程序 和 数据 文件 不 会 受到 任何 损伤 。 如 果 用 户 
卷 内 由 于 病毒 或 使 用 上 的 原因 导致 存储 空间 拥塞 时 ,系统 卷 不 会 受 影 响 ,不 会 导致 网 络 系统 
运行 失常 。 这 种 划分 还 十 分 有 利于 系统 管理 员 设 置 网 络 安全 存 取 权限 ,保证 网 络 系 统 不 受 
病毒 代码 感染 和 破坏 。 

@ 要 用 硬盘 启动 网 络 服务 器 ,否则 在 受到 引导 型 病毒 代码 感染 和 破坏 后 ,遭受 损失 的 
将 不 仅仅 是 一 台 个 人 计算 机 ,而 会 影响 到 整个 网 络 的 中 枢 。 

@ 在 网 络 服务 器 上 必须 安装 真正 有 效 的 防 杀 病 毒 软件 ,并 经 常 进行 升级 。 必 要 的 时 候 
还 可 以 在 网 关 、 路 由 器 上 安装 病毒 防火 墙 产 品 , 从 网 络 出 入 口 保护 整个 网 络 不 受 病毒 的 
侵害 。 

@ 不 随便 直接 运行 或 直接 打开 电子 函件 中 夹带 的 附件 文件 ,不 随意 下 载 软件 ,尤其 是 
一 些 可 执行 文件 和 Office 文档 。 即 使 下 载 了 ,也 要 先 用 最 新 的 防 杀 病 毒 软件 来 检查 。 
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(4) 重要 数据 文件 要 有 备份 。 

@ 硬盘 分 区 表 .引导 扇 区 等 的 关键 数据 应 作 备 份 并 妥善 保管 :以 便 在 进行 系统 维护 和 
修复 工作 时 作为 参考 。 

@ 重要 数据 文件 定期 进行 备份 工作 。 不 要 等 到 由 于 病毒 代码 破坏 、 计 算 机 硬件 或 软件 
出 现 故 障 , 使 用 户 数据 受到 损伤 时 再 去 急救 。 

(5) 强化 安全 管理 。 

@ 系统 管理 员 的 口令 应 严格 管理 ,不 使 之 泄漏 ,不 定期 地 予以 更 换 , 保 护 网 络 系统 不 被 
非法 存 取 ,不 被 感染 上 病毒 或 遭受 破坏 。 

@ 应 用 程序 软件 的 安装 ,应 由 系统 管理 员 进 行 或 由 系统 管理 员 临 时 授权 进行 ,保护 网 
络 用 户 使 用 共享 资源 时 总 是 安全 无 毒 的 。 

@ 系统 管理 员 对 网 络 内 的 共享 电子 邮件 系统 .共享 存储 区 域 和 用 户 卷 应 定期 进行 病毒 
扫描 ,发 现 异 常情 况 及 时 处 理 。 条 件 许可 时 ,还 应 在 应 用 程序 卷 中 安装 最 新 版 本 的 防 杀 病毒 
软件 供用 户 使 用 。 

@ 网 络 系统 管理 员 在 做 好 日 常 管 理事 务 的 同时 ,还 要 拟订 应 急 措 施 ,及 时 发 现 病毒 感 
染 迹 象 。 一 旦 出 现 病毒 传播 迹象 ,应 立即 隔离 被 感染 的 计算 机 系统 和 网 络 , 并 进行 处 理 , 而 
不 应 当 带 毒 继续 工作 下 去 。 要 按照 特别 情况 清查 整个 网 络 , 切 断 病毒 传播 的 途径 ,保障 正常 
工作 的 进行 。 

(6) 防范 体系 与 规范 建设 。 

病毒 防范 工作 首先 是 防范 体系 的 建设 和 制度 的 建立 。 没 有 一 个 完善 的 防范 体系 ,一 切 
防范 措施 都 将 滞后 于 病毒 的 危害 。 

病毒 防范 制度 是 防范 体系 中 每 个 主体 都 必须 遵守 的 行为 规程 ,没有 制度 ， 防范 体系 就 不 
可 能 很 好 地 运作 ,就 不 可 能 达到 预期 的 效果 。 必 须 依 照 防 范 体系 对 防范 制度 的 要 求 ,结合 实 
际 情况 ,建立 符合 自身 特点 的 防范 制度 。 

为 了 统筹 全 国 的 病毒 防治 ,2000 年 5 月 在 原 计 算 机 病毒 防治 产品 检验 中 心 的 基础 上 
成 立 了 国家 计算 机 病毒 应 急 处 理 中 心 。 国 家 计算 机 病毒 应 急 处 理 中 心 的 工作 任务 是 : 充 
分 调动 国内 防治 病毒 的 力量 ,快速 发 现 病毒 疫情 ,快速 做 出 反应 ,快速 处 置 ,及 时 消除 病 
毒 ,防止 病毒 对 我 国 的 计算 机 网 络 和 信息 系统 造成 重大 的 破坏 ,确保 我 国信 息 产 业 安 全 
健康 发 展 。 

另 一 方面 ,为 了 使 中 国 的 计算 机 防治 工作 走 上 法 制 轨道 ,国家 于 1994 年 2 月 颁布 了 《中 
华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》. 在 此 基础 上 又 颁布 了 《计算 机 病毒 防治 管理 
办 法 》, 还 在 新 修订 的 《中华 人民 共和 国 刑法 》 中 对 故意 制造 、 传 播 病 毒 的 行为 规定 了 相应 的 
处 罚 办 法 。 


2. 病毒 检测 
病毒 是 一 段 程序 代码 ,即使 它 隐 藏 得 很 好 ,也 会 留 下 许多 痕迹 。 通 过 对 这 些 蛛丝马迹 的 
判别 ,发 现 病毒 的 特征 和 名 称 , 就 称 为 查 毒 。 目 前 使 用 的 查 毒 方法 有 以 下 几 种 。 
现象 观测 法 


根据 病毒 代码 发 作 前 、 发 作 时 和 发 作 后 的 表现 现象 ,推断 发 现 病毒 代码 。 
训 证 壕 六 


2) 进程 监视 法 

进程 监视 会 观察 到 系统 的 活动 状况 ,同时 也 会 拦截 所 有 可 疑 行为 。 例 如 ,多 数 个 人 计算 
机 的 BIOS 都 有 防 病毒 设置 , 当 这 些 设 置 打 开 时 :就 允许 计算 机 拦截 所 有 对 系统 主 引导 记录 
进行 写 和 人 的 企图 。 

3) 比较 法 

比较 法 用 原始 的 或 正常 的 文件 与 被 检测 的 文件 进行 比较 。 按 照 比较 的 内 容 有 以 下 几 种 
方法 : 

(1) 长 度 ( 内 容 ) 比 较 法 ; 

(2) 内 存 比 较 法 ; 

(3) 中 断 比 较 法 ; 

(4) 校 验 和 比较 法 。 

比较 法 可 以 通过 感染 实验 室 法 进行 。 它 先 运 行 一 些 确切 知道 不 带 毒 的 正常 程序 ,然后 
观察 这 些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 增长 ,或 者 校 验 和 有 变化 ,就 可 以 断 
言 系统 中 有 病毒 。 

4) 特征 码 法 

特征 码 法 是 将 所 有 病毒 的 病毒 特征 码 加 以 剖析 ,把 分 析 得 到 的 这 些 病毒 独 有 的 特征 搜 
集 在 一 个 病毒 特征 码 资料 库 ( 病 毒 库 ) 中 。 检 测 时 ,以 扫描 的 方式 将 待 检 测 程序 与 病毒 库 中 
的 病毒 特征 码 进行 一 一 对 比 ;发 现 有 相同 的 代码 , 则 可 判定 该 程序 已 遭 病毒 感染 。 这 种 方法 
是 许多 病毒 检测 工具 的 基础 。 但 是 ,这 种 方法 检测 不 出 未 知 病毒 。 

5) 软件 模拟 法 

软件 模拟 法 是 一 种 软件 分 析 器 , 它 用 软件 方法 来 模拟 和 分 析 程 序 的 运行 。 这 种 方法 后 
来 演变 为 虚拟 机 上 进行 的 查 毒 、 启 发 式 查 毒 等 技术 ,是 相对 成 熟 的 技术 。 

6) 分 析 法 

这 是 适用 于 反 病 毒 技术 人 员 的 病毒 检测 方法 ,分 为 静态 分 析 和 动态 分 析 两 种 方法 。 

静态 分 析 法 是 用 DEBUG 等 反 汇 编程 序 , 将 病毒 代码 打印 成 反 汇编 后 的 程序 清单 进行 
分 析 , 看 病毒 分 成 哪些 模块 ,使 用 了 哪些 系统 调用 ,采用 了 哪些 技巧 ,如 何 将 病毒 感染 文件 的 
过 程 翻转 为 清除 病毒 、 修 复 文 件 的 过 程 ,哪些 代码 可 被 用 作 特 征 代 码 以 及 如 何 防 御 这 种 
病毒 。 

动态 分 析 法 是 利用 DEBUG 等 调试 工具 ,在 内 存 带 毒 的 情况 下 对 病毒 做 动态 跟踪 ,观察 
病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 病毒 工作 的 原理 。 

在 病毒 编码 比较 简单 的 情况 下 ,动态 分 析 不 是 必须 的 。 当 病毒 采用 了 较 多 的 技术 手段 
时 ,必须 使 用 动静 相 结合 的 分 析 方 法 才能 完成 整个 分 析 过 程 。 


3. 病毒 的 清除 


病毒 的 清除 ,也 称 为 对 象 恢复 ,就 是 将 染 毒 文 件 中 的 病毒 代码 摘除 。 病 毒 很 多 ,并 且 还 
i 


在 不 断 出 现 。 它 们 特性 各 异 , 生 成 技术 不 同 ,清除 方法 也 不 同 。 下 面 介 绍 几 种 已 有 病毒 的 清 
除 方法 。 


1) 引导 型 病毒 的 清除 
清除 引导 型 病毒 最 有 效 、 最 简单 的 方法 是 进行 磁盘 的 格式 化 。 但 是 ,格式 化 的 同时 也 使 


有 用 数据 同归于尽 。 因 此 ,要 尽量 采用 不 格式 化 的 方法 清除 引导 型 病毒 。 


(1) 主 引 导 扇 区 的 修复 过 程 如 下 : 

@ 用 无 毒 软盘 启动 系统 。 

@ 寻找 一 台 同 类 型 .硬盘 分 区 相同 的 无 毒 计 算 机 ,将 其 硬盘 主 引 导 扇 区 写 和 人 一 张 软盘 。 
@ 将 该 软盘 插 和 人 染 毒 计 算 机 ,将 其 中 采集 的 主 引导 扇 区 数据 写 人 染 毒 硬盘 。 

@ 修复 结束 。 

(2) BOOT 扇 区 的 恢复 过 程 如 下 : 

Q@ 用 无 毒 软盘 启动 系统 。 

@ 运行 有 关 命 令 恢复 ,如 FDISK/MBR( 重 写 一 个 无 病毒 的 MBR)、FDISK( 读 取 或 重 


写 分 区 表 ) 以 及 FORMAT C:/S 或 SYS C:( 重 写 一 个 无 毒 的 活动 分 区 引导 记录 ) 等 。 


2) 文件 型 病毒 的 清除 
文件 型 病毒 的 清除 可 分 两 种 情形 讨论 。 一 种 情形 是 破坏 性 感染 病毒 ,这 类 病毒 一 般 采 


用 覆盖 式 写 入 ,由 于 破坏 了 宿主 文件 ,所 以 当 没 有 原文 件 的 副本 时 ,是 不 可 恢复 的 。 另 一 种 


情形 是 非 破 坏 性 病毒 ,它们 感染 的 文件 是 可 以 恢复 的 ,但 是 恢复 方法 是 很 复杂 的 ,没有 专门 
知识 (如 对 可 执行 文件 格式 的 了 解 , 以 及 是 否 掌 握 汇 编 语 言 知 识 ) 是 做 不 到 手工 恢复 的 。 


3) 宏 病 毒 的 清除 

(1) 手工 清除 。 例 如 清除 Word 文档 中 的 宏 病 毒 ,可 以 采用 如 下 方法 : 

@ 选取 “工具 "|* 宏 ”, 进 入 “管理 器 "。 

@ 选取 “ 宏 方 案 项 (MD)”。 

@ 在 “ 安 方 案 项 的 有 效 范 围 ? 下 拉 列 表 框 中 ,选择 要 检查 的 文档 ,在 其 上 方 列 表 框 中 会 


显示 该 文档 模板 中 出 现 的 宏 。 


@ 将 来 源 不 明 的 宏 删 除 。 

(2) 使 用 杀毒 软件 

下 面 介绍 在 Windows 环境 下 使 用 KV3000 清除 宏 病毒 的 方法 。 
@ 执行 KV3000。 

@ 任 选 一 个 可 能 存在 宏 病 毒 的 子 目 录 进 行 检查 。 

@ 为 安全 起 见 , 查 出 病毒 后 , 先 将 其 扩展 名 改名 (如 改 为 kv) 。 
@ 将 原文 件 中 的 病毒 杀 除 。 


4. 抗 病毒 软件 


1) 抗 病毒 软件 的 类 型 
抗 病毒 软件 的 功能 不 外 乎 查 毒 .杀毒 。 按 照 查 毒 .杀毒 机 制 , 抗 病毒 软件 可 以 分 为 3 类 : 
(1) 病毒 扫描 型 软件 。 采 用 特征 扫描 法 ,根据 已 知 病毒 特征 扫描 可 能 的 感染 对 象 。 


。16 。 


(2) 完整 性 检查 型 软件 。 采 用 比较 法 和 校 验 和 法 ,监视 对 象 ( 包 括 引导 扇 区 和 文件 等 ) 
的 属性 (大 小 、 时 间 、 日 期 和 校 验 和 ) 和 内 容 , 如 果 发 生变 化 , 则 对 象 极 有 可 能 被 病毒 感染 。 

(3) 行为 封锁 型 软件 。 采 用 驻 留 内 存在 后 台 工 作 的 方式 ,监视 可 能 因 病 毒 引 起 的 异常 
行为 。 发 现 异常 行为 ,就 及 时 发 出 警告 ,让 用 户 决 定 是 否 让 所 发 生 的 行为 继续 进行 。 

2) 抗 病毒 软件 的 选择 指标 

(1) 识别 率 : 识别 率 主 要 从 下 面 两 个 方面 来 衡量 : 

@ 误 报 (false positive) 率 : 在 被 检测 对 象 中 ,对 没有 感染 病毒 的 对 象 发 出 警报 的 比率 。 

@ 漏 报 (false negative) 率 : 在 被 检测 对 象 中 ,感染 病毒 的 对 象 没 有 被 检测 出 的 比率 。 

(2) 检测 速度 : 不 同 的 抗 病毒 软件 使 用 不 同 的 病毒 扫描 算法 ,会 影响 检测 速度 。 当 然 ， 
开发 者 的 能 力也 影响 检测 速度 。 

(3) 动态 检测 (on-the-fly scanning) 能 力 : 动态 检测 也 称 实 时 检测 , 指 在 操作 (打开 、 关 
闭 .创建 、 读 / 写 ) 时 检测 病毒 的 能 力 。 具 有 动态 检测 能 力 的 抗 病毒 软件 总 是 处 于 激活 状态 ， 
一 般 驻 留 在 内 存 , 主 动 检测 各 种 对 象 。 

(4) 按 需 检测 (on-demand scanning) 能 力 : 抗 病毒 软件 一 般 处 于 非 激 活 状态 ,在 用 户 请 
求 下 才 开 始 扫描 。 

(5) 多 平台 可 用 性 : 抗 病毒 软件 可 以 识别 操作 系统 ,根据 不 同 的 操作 系统 ,利用 不 同 的 特征 。 

(6) 可 靠 性 : 指 抗 病毒 软件 能 够 完成 正常 的 扫描 , 它 是 一 个 十 分 重要 的 准则 。 

3) 抗 病毒 软件 产品 

(1) 国外 抗 病毒 产品 及 查询 网 站 

@ VirusScan ,网 址 为 http://www. mcafeeb2b. com 。 

@ NAV ,网 址 为 http://www. symantee. com。 

@ Pandaguard ,网 址 为 http://www. pandaguard. com。 

(2) 国内 抗 病毒 产品 及 查询 网 站 

QO@ KILL ,网 址 为 http://www. kill. com。 

@ KV ,网 址 为 http://www. jiangmin. com 。 

@ RAV, 网 址 为 http://www. rising. com。 

@ VRV ,网 址 为 http://www. vrv. com。 


5. 病毒 代码 侵害 系统 的 恢复 


查 毒 杀毒 的 目的 是 为 了 让 系统 能 正常 工作 。 因 此 , 查 毒 .杀毒 之 后 ,还 要 对 被 破坏 了 的 
系统 进行 修复 。 修 复 是 对 被 病毒 破坏 了 的 文件 以 及 系统 进行 恢复 。 下 面 介 绍 病毒 代码 感染 
后 的 一 般 修复 处 理 方法 : 

(1) 首先 必须 对 系统 破坏 程度 有 详细 而 全 面 的 了 解 ,并 根据 破坏 的 程度 来 决定 采用 对 
应 的 有 效 清除 方法 和 对 策 : 

Q@ 若 受 破坏 的 大 多 是 系统 文件 和 应 用 程序 文件 ,并 且 感 染 程度 较 深 ,那么 可 以 采取 重 
装 系统 的 办 法 来 达到 清除 病毒 代码 的 目的 。 

@ 若 感染 的 是 关键 数据 文件 或 系统 受 感 染 比较 严重 (如 硬件 被 CIH 病毒 破坏 ) ,就 应 

a 


当 考 虑 请 反 病 毒 专家 来 进行 病毒 清除 和 数据 恢复 工作 。 

(2) 修复 前 , 尽 可 能 再 次 备份 重要 数据 文件 。 

目前 抗 病毒 软件 在 杀毒 前 大 多 都 会 保存 重要 数据 和 被 感染 文件 .以便 在 误杀 或 因 杀 毒 造 
成 新 的 破坏 后 能 够 恢复 现场 。 其 中 ,对 特别 重要 的 用 户 数 据 文件 等 在 杀毒 前 还 应 当 单独 进行 
手工 备份 ,但 是 不 能 备份 在 被 感染 破坏 的 系统 内 ,也 不 应 该 与 平时 的 常规 备份 混在 一 起 。 

(3) 启动 抗 病 毒 软件 并 对 整个 硬盘 进行 扫描 。 

注意 , 某 些 病毒 (如 CIH 病毒 ) 在 Windows 95/98 状态 下 无 法 完全 清除 ,此 时 应 用 事先 准 
备 好 的 未 感染 病毒 的 DOS 系统 软盘 启动 系统 ,然后 在 DOS 下 运行 相关 抗 病毒 软件 进行 清除 。 

(4) 发 现 病毒 后 ,一 般 应 利用 抗 病毒 软件 清除 文件 中 的 病毒 。 如 果 可 执行 文件 中 的 病 
毒 不 能 被 清除 ,应 将 其 删除 后 重新 安装 相应 的 应 用 程序 。 

(5) 杀毒 完成 后 ,重启 计算 机 ,再 次 用 抗 病毒 软件 检查 系统 中 是 否 还 存在 病毒 ,并 确定 
被 感染 破坏 的 数据 确实 被 完全 恢复 。 

(6) 对 于 抗 病毒 软件 无 法 杀 除 的 病毒 ,应 将 病毒 样本 送 交 抗 病毒 软件 厂商 的 研究 中 心 ， 
以 供 详细 分 析 。 


1.2 蜂 虫 


1.2.1 蠕虫 的 特征 


1982 年 ,Xerox PARC 的 John F. Shoch 等 人 为 了 进行 分 布 式 计算 的 模型 实验 ,编写 了 
称 为 蠕虫 (wormy) 的 程序 。 可 他 们 没有 想到 ,这 种 “可 以 自 
我 复制 ?并 可 以 "从 一 台 计 算 机 移动 到 另 一 台 计 算 机 ”的 程 
序 ,后 来 竞 给 计算 机 界 带 来 了 巨大 的 灾难 。1988 年 被 罗 伯 
特 ， 莫 里 斯 (Robert Morris, 见 图 1.7) 释 放 的 Morris 蜂 虫 
在 Internet 上 爆发 ,在 几 个 小 时 之 内 迅速 感染 了 所 能 找到 
的 .存在 漏洞 的 计算 机 。 如 图 1.8 所 示 ,.Internet 上 的 蠕虫 
袭击 最 初 缓慢 地 增加 ,到 2000 年 后 开始 呈 指 数 上 升 。 

蠕虫 与 病毒 都 是 具有 恶意 的 程序 代码 ,简称 恶意 代码 。 
它们 都 可 以 传播 ,但 两 者 也 有 许多 不 同 , 如 表 1. 1 所 示 。 图 1.7 罗伯特 。 莫 里 斯 
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图 1.8 CERT( 计 算 机 紧急 响应 小 组 ) 统 计 的 1988 一 2002 年 蠕虫 事件 的 发 生 次 数 
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表 1.1 蠕虫 与 病毒 的 比较 


比较 项 目 蠕 审 病 毒 
存在 形式 独立 存在 寄生 在 宿主 程序 中 
运行 机 制 自主 运行 条 件 触发 

攻击 对 象 计算 机 、 网 络 文件 

繁殖 方式 自我 复制 感染 宿主 程序 
传播 途径 系统 漏洞 文件 感染 


下 面 进一步 说 明 蠕 虫 的 特点 。 

(1) 存在 的 独立 性 。 病 毒 具 有 寄生 性 .寄生 在 宿主 文件 中 ;而 蠕虫 是 独立 存在 的 程序 
个 体 。 

(2) 攻击 的 对 象 是 计算 机 。 病 毒 代码 的 攻击 对 象 是 文件 系统 ,而 蠕虫 的 攻击 对 象 是 计 
算 机 系统 。 

(3) 感染 的 反复 性 。 病 毒 与 蠕虫 都 具有 感染 性 ,它们 都 可 以 自我 复制 。 但 是 ,病毒 与 蜂 
虫 的 感染 机 制 有 3 点 不 同 : 

@O 病毒 感染 是 一 个 将 病毒 代码 嵌入 到 宿主 程序 的 过 程 , 而 蠕虫 的 感染 是 自身 的 复制 。 

@ 病毒 的 感染 目标 针对 本 地 程序 (文件 ) ,而 蠕虫 是 针对 网 络 上 的 其 他 计算 机 。 

G@) 病毒 是 在 宿主 程序 运行 时 被 触发 进行 感染 ,而 蠕虫 是 通过 系统 漏洞 进行 感染 。 

此 外 ,由 于 蠕虫 是 一 种 独立 程序 ,所 以 它们 也 可 以 作为 病毒 的 寄生 体 ,携带 病毒 ,并 在 发 
作 时 释放 病毒 ,进行 双重 感染 。 

病毒 防治 的 关键 是 将 病毒 代码 从 宿主 文件 中 摘除 :蠕虫 防治 的 关键 是 为 系统 打 补 丁 
《Cpatch) ,而 不 是 简单 地 摘除 ,只 要 漏洞 没有 完全 修补 ,就 会 重复 感染 。 

(4) 攻击 的 主动 性 。 计 算 机 使 用 者 是 病毒 的 感染 的 触发 者 ,而 蠕虫 的 感染 与 操作 者 是 
否 进行 操作 无 关 , 它 搜索 到 计算 机 的 漏洞 后 即 可 主动 攻击 进行 感染 。 也 就 是 说 ,蠕虫 与 病毒 
的 最 大 不 同 在 于 它 不 需要 人 为 干预 ,能 够 自主 不 断 地 复制 和 传播 。 所 以 通常 认为 : 
“Internet 蠕虫 是 无 须 计 算 机 使 用 者 干预 即 可 运行 的 独立 程序 , 它 通 过 不 停 地 获得 网 络 中 存 
在 漏洞 的 计算 机 上 的 部 分 或 全 部 控制 权 来 进行 传播 。” 

(5) 破坏 的 严重 性 。 病 毒 虽然 对 系统 性 能 有 影响 ,但 破坏 的 主要 是 文件 系统 。 而 蠕虫 
主要 是 利用 系统 及 网 络 漏 洞 影响 系统 和 网 络 性 能 ,降低 系统 性 能 。 例 如 ,它们 的 快速 复制 以 
及 在 传播 过 程 中 的 大 面积 漏洞 搜索 ,会 造成 巨 量 的 数据 流量 ,导致 网 络 拥 塞 甚至 瘫痪 ;对 一 
般 系统 来 说 ,多 个 副本 形成 大 量 进程 ,会 大 量 耗 费 系 统 资源 ,导致 系统 性 能 下 降 , 对 网 络 服务 
器 尤为 明显 。 其 破坏 的 严重 性 造成 了 巨大 的 经 济 损失 。 例 如 : 

。 1988 年 11 月 2 日 .Morris 蠕虫 改作, 一 夜 之 间 攻 击 了 约 6200 台 VAX 系列 小 型 机 

和 Sun 工作 站 。Purdue 大 学 Gene Spafford 估计 整个 经 济 损失 为 20 万 美元 ,而 美 
国 病毒 代码 协会 的 John McAfee 的 报告 认定 的 损失 大 约 为 9600 万 美元 。 

。 1998 年 爆发 的 CIH 蠕虫 在 世界 范围 内 造成 2000 一 8000 万 美元 的 损失 。 

。 1999 年 “美丽 杀手 ”蠕虫 使 政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ,经 济 损 
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失 超 过 12 亿美 元 。 

2000 年 5 月 “ 爱 虫 ”开始 流传 ,造成 大 量 计 算 机 感染 ,迄今 造成 的 损失 超过 100 亿美 
元 以 上 。 

2001 年 7 月 19 日 ,“ 红 色 代 码 ”(Code Red) 蠕 虫 爆发 , 几 个 小 时 内 就 攻击 了 25 万 台 
计算 机 ,造成 的 损失 超过 一 亿美 元 。 之 后 该 蠕虫 产生 了 威力 更 强 的 几 个 变种 ,大 约 
在 世界 范围 内 造成 280 万 美元 的 损失 。 

2001 年 12 月 开始 流传 的 “求职 信 ? 造 成 大 量 邮 件 服务 器 堵塞 ,损失 达 数 百 亿 美元 。 
2003 年 1 月 ,Sql 蠕虫 王 造成 网 络 大 面积 瘫痪 ,银行 自动 提 款 机 运作 中 断 , 直 接 经 济 
损失 超过 26 亿美 元 。 

2003 年 1 月 25 日 ,Slammer 首 次 出 现 , 其 目标 是 服务 器 ,在 十 分 钟 内 感染 了 7.5 万 
人 台 计 算 机 , 曾 使 整个 韩国 的 计算 机 网 络 瘫痪 了 12 小 时 ,全 球 受 感染 服务 器 超过 50 
万 台 ,5 天 之 内 造成 的 损失 超过 10 亿美 元 。 

2003 年 夏季 ,“ 冲 击 波 ”(Blaster) 爆 发 , 数 十 万 台 计 算 机 被 感染 ,给 全 球 造成 20 亿 一 
100 亿美 元 的 损失 。 

2003 年 8 月 19 日 ,Sobig 的 变种 “霸王 虫 ”(Sobig,F) 爆 发 ,在 最 初 的 4 小 时 内 自身 复 
制 了 100 万 次 ,给 全 球 带 来 50 亿 一 100 亿美 元 的 损失 。 

2004 年 1 月 18 日 ,“ 贝 革 热 "(Bagle) 爆 发 ,给 全 球 带 来 数 干 万 美元 的 损失 。 

2004 年 1 月 26 日 出 现在 网 络 上 的 MyDoom ,传播 速度 大 大 超过 了 “霸王 虫 ”。“ 霸 
王 虫 ? 在 传播 高 峰 期 的 记录 是 每 17 封 邮件 就 有 一 封 被 感染 ,而 MyDoom 在 1 月 28 
日 就 创下 了 每 12 封 邮件 中 就 有 一 封 被 感染 的 记录 。 到 了 1 月 30 日 ,感染 率 在 大 客 
户 中 是 每 10 封 邮件 中 就 有 一 封 被 感染 ,在 小 客户 中 是 每 3 封 邮件 中 就 有 一 封 被 感 
染 。 在 2004 年 最 烧 钱 的 病毒 代码 评比 中 ,MyDoom 称 冠 。 

2004 年 4 月 30 日,“ 震荡 波 ”(Sasser) 爆 发 ,给 全 球 带 来 数 千 万 美元 的 损失 。 

2005 年 8 月 16 日 ,Zotob 蜂 虫 及 其 数 个 变种 流行 。 

2006 年 6 月 2 日 “ 维 金 " 蠕 虫 (Viking) 被 截获 ,截至 该 年 年 底 , 受 攻击 用 户 达 
1740 679。 

2006 年 10 月 16 日 “熊猫 烧香 ”( 别 名“ 尼 姆 亚 ? 或 "武汉 男生 ”, 后 又 化 身 为 “ 金 猪 报 
喜 ”) 爆 发 , 据 中 国 国家 计算 机 网 络 应 急 处 理 中 心 估计 ,其 造成 的 损失 超过 76 亿 元 。 
2008 年 11 月 , “扫荡 波 ”(Worm. SaodangBo. a. 94208) 蠕虫 被 发 现 。 当 时 , 它 已 经 造 
成 大 量 企 业 用 户 局 域 网 瘫痪 , 数 十 万 用 户 网 络 崩 溃 。 

2008 年 底 ,Conficker 蠕虫 开始 传播 。 一 旦 计算 机 被 感染 ,就 被 加 入 一 个 大 规模 的 伪 
尸 网 络 ,并 被 蠕虫 作者 控制 。 在 首次 被 检测 到 之 后 ,Conficker 已 经 感染 了 数 百 万 台 
计算 机 和 多 个 国家 的 企业 网 络 。 

2008 年 年 底 ,“ 刻 毒 虫 ”(kido) 开 始 流 行 ,到 2010 年 已 经 成 为 感染 面积 最 大 的 蠕虫 。 
2010 年 6 月 ,“ 震 网 ”(Stuxnet) 首 次 被 白俄罗斯 安全 公司 VirusBlokAda 发 现 。 实 际 
上 它 的 传播 是 从 2009 年 6 月 开始 甚至 更 早 。 它 是 首 个 针对 工业 控制 系统 的 蠕虫， 
也 是 已 知 的 第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 。 

2011 年 9 月 5 日 ; 首 个 QQ 和 群 蠕虫 (Pincav) 被 截获 。 该 蠕虫 伪装 成 电视 棒 破 解 程序 


欺骗 网 民 下 载 , 盗 取 魔 兽 、 邮 箱 及 社交 网 络 账号 ,计算 机 被 感染 后 ,蠕虫 会 自动 访问 
QQ 群 共享 空间 来 进行 传播 。 其 感染 量 每 天 约 2 万 个 。 
(6) 行踪 的 隐蔽 性 。 由 于 蠕虫 传播 过 程 的 主动 性 ,不 需要 像 病 毒 那 样 由 计算 机 使 用 者 
的 操作 触发 ,因而 难以 察觉 。 
从 上 述 讨论 可 以 看 出 ,蠕虫 虽然 与 病毒 有 些 不 同 , 但 也 有 许多 共同 之 处 。 如 果 将 凡 
是 能 够 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 均 统称 为 病毒 代码 ,那么 ,从 这 个 意义 上 
说 ,蠕虫 也 应 当 是 一 种 病毒 。 它 以 计算 机 为 载体 ,以 网 络 为 攻击 对 象 , 是 通过 网 络 传播 的 


1.2.2 蠕虫 的 基本 传播 过 程 


图 1. 9 表明 了 蠕虫 的 基本 工作 过 程 。 蠕 虫 首先 随机 生成 一 个 IP 地 址 作为 要 攻击 的 对 
象 ,接着 对 被 攻击 的 对 象 进行 扫 描 ,探测 有 无 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 
漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ,就 得 到 一 个 可 传播 的 对 象 ,随后 就 可 以 将 蠕虫 主体 迁 
移 到 目标 主机 。 然 后 ,蠕虫 程序 进入 被 感染 的 系统 ,对 目标 主机 进行 现场 处 理 。 现 场 处 理 部 
分 的 工作 包括 隐藏 .信息 搜集 等 。 蠕 虫 人 侵 计算 机 系统 之 后 ,会 在 被 感染 的 计算 机 上 产生 自 
己 的 多 个 副本 ,每 个 副本 启动 搜索 程序 寻找 新 的 攻击 目标 。 一 般 要 重复 上 述 过 程 mw 次 (mm 
为 蠕虫 产生 的 繁殖 副本 数量 )。 不 同 的 蠕虫 采取 的 IP 生成 策略 可 能 并 不 相同 ,甚至 随机 生 
成 。 各 个 步 又 的 繁 简 程度 也 不 同 , 有 的 十 分 复杂 ,有 的 则 非常 简单 。 


随机 生成 IP 地 址 
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探测 地 址 


ne nf 攻击 、 感 染 、 现 场 处 理 
本 


图 1.9 蠕虫 的 工作 流程 


1.2.3 蠕虫 的 扫描 机 制 


一 般 说 来 ,蠕虫 希望 隐蔽 地 传播 ,并 尽快 地 传播 更 多 的 主机 。 根 据 这 一 原则 ,扫描 模块 
采取 的 扫描 策略 是 : 随机 选取 一 段 IP 地 址 ,然后 对 这 一 地 址 段 上 的 主机 进行 扫描 。 

差 的 扫描 程序 并 不 知道 一 段 地 址 是 否 已 经 被 扫描 过 ,只 是 随机 地 扫描 Internet, 很 有 可 
能 重复 扫描 一 个 地 址 段 。 于 是 ,蠕虫 传播 得 越 广 , 网 上 的 扫描 包 越 多 ,即使 探测 包 很 小 ,但 积 
少 成 多 ,就 会 引起 严重 的 网 络 拥塞 。 

扫描 策略 改进 的 原则 是 ,尽量 减少 重复 的 扫描 ,使 扫描 发 送 的 数据 包 尽 量 少 , 并 保证 扫 
描 和 覆盖 尽量 大 的 范围 。 按 照 这 一 原则 ,可 以 有 如 下 一 些 策略 : 

(1) 在 网 段 的 选择 上 ,可 以 主要 对 当前 主机 所 在 网 段 进 行 扫描 ,对 外 网 段 随机 选择 几 个 
小 的 IP 地 址 段 进行 扫描 。 

(2) 对 扫描 次 数 进行 限制 。 

。 2] 。 


(3) 将 扫描 分 布 在 不 同 的 时 间 段 进行 ,不 集中 在 某 一 时 间 内 。 
(4) 针对 不 同 的 漏洞 设计 不 同 的 探测 包 ,提高 扫描 效率 。 例 如 : 
。 对 远程 缓冲 区 溢出 漏洞 ,通过 发 出 溢出 代码 进行 探测 。 

。 对 Web CGI 漏洞 ,发 出 一 个 特殊 的 HTTP 请 求 探测 。 


1.2.4 蠕虫 的 隐藏 手段 


蠕虫 为 了 不 被 发 现 , 就 要 采用 一 些 隐藏 技术 。 下 面 介绍 蠕虫 的 几 种 隐藏 手法 。 

(1) 修改 蠕虫 在 系统 中 的 进程 号 和 进程 名 称 , 拖 盖 蠕 虫 启动 的 时 间 记 录 。 此 方法 在 
Windows 95/98 下 可 以 使 用 RegisterServiceProcess API 函数 使 得 进程 不 可 见 。 但 是 ,在 
Windows NT/2000 下 ,由 于 没有 这 个 函数 ,方法 就 要 困难 一 些 了 : 只 能 在 psapi. dll 的 
EnumProcess API 上 设置 “ 钧 子 ”, 建 立 一 个 虚 的 进程 查看 函数 。 

(2) 将 蜂 虫 复制 到 一 个 目录 下 ,并 更 换文 件 名 为 已 经 运行 的 服务 名 称 , 使 任务 管理 器 不 
能 终止 蠕虫 运行 。 这 时 要 参考 ADV API32. DLL 中 的 OpenSCManagerA 和 
CreateServiceA. API 函数 。 

(3) 删除 自己 : 

。 在 Windows 95 系统 中 ,可 以 采用 DeleteFile API 函数 。 

。 在 Windows 98/NT/2000 中 ,只 能 在 系统 下 次 启动 时 删除 自己 。 常 用 的 方法 是 : 在 
注册 表 中 加 入 如 下 一 条 : 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNONCE%®COMSPECS%/C DEL< PATH_TO_WORM\ 
WORM_FILE_NAME .EXE> ( 尖 插 号 括 起 的 部 分 应 输入 蠕虫 的 路 径 和 文件 名 ) 
然后 重新 启动 操作 系统 。 

1.2.5 蠕虫 程序 的 功能 结构 
一 个 蠕虫 程序 的 基本 功能 包括 传播 模块 、 隐 藏 模块 和 目的 模块 3 部 分 。 
1. 传播 模块 


传播 模块 用 于 实现 蠕虫 的 自动 人 侵 功 能 。 没 有 蠕虫 的 传播 技术 ,也 就 谈 不 上 蜂 虫 技术 
了 。 传 播 模块 由 扫描 子 模块 .攻击 子 模块 和 复制 子 模块 组 成 。 

(1) 扫描 子 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 漏洞 的 信息 并 
收 到 成 功 的 反馈 信息 后 ,就 会 得 到 一 个 可 传播 的 对 象 。 

(2) 攻击 子 模块 按照 漏洞 攻击 步骤 自动 攻击 已 经 找到 的 攻击 对 象 ,获得 一 个 shell, 就 拥 
有 了 对 整个 系统 的 控制 权 。 对 Win 2000 来 说 ,就 是 cmd. exe。 

(3) 复制 子 模块 通过 原 主 机 和 新 主机 的 交互 ,将 蠕虫 程序 复制 到 新 主机 并 启动 ,实际 上 
是 一 个 文件 传输 过 程 。 


2. 隐藏 模块 


该 模块 负责 在 侵入 主机 后 隐藏 蠕虫 程序 ,防止 被 用 户 发 现 
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3. 目的 模块 
该 模块 实现 对 计算 机 的 控制 .监视 或 破坏 等 功能 。 


1.3 特洛伊 木马 


1.3.1 特洛伊 木马 及 其 特征 


古 希 腊 诗人 和 荷 马 (Homer) 在 其 史诗 《伊利 亚 特 》(The Iliad) 中 描述 了 这 样 一 个 故事 : 
希腊 王 的 王妃 海伦 被 特洛伊 (Troy) 的 王子 掠 走 ,希腊 王 在 攻打 特洛伊 城 时 ,使 用 了 木马 计 
(the strategy of Trojan horse) ,在 巨大 的 木马 内 装 满 了 士兵 ,然后 假装 撤退 ,把 木马 留 下 。 
特洛伊 人 把 木马 当 作 战利品 拉 回 特洛伊 城内 。 到 了 夜间 ,木马 内 的 士兵 销 出 来 作为 内 应 , 打 
开 城 门 ,希腊 王 得 以 攻 下 特洛伊 城 。 此 后 ,人 们 就 把 特洛伊 木马 (Trojan horse) 作 为 伪装 的 
内 部 颠覆 者 的 代名词 。 

RFC 1244(Request for Comments:1244) 中 ,关于 特洛伊 木马 程序 的 定义 是 : 特洛伊 木 
马 程 序 是 一 种 恶意 程序 , 它 能 提供 一 些 有 用 的 或 者 令 人 感 兴 趣 的 功能 ;但 是 还 具有 用 户 不 知 
道 的 其 他 功能 ,例如 在 用 户 不 知晓 的 情况 下 复制 文件 或 窃取 密码 。 简 单 地 说 ,凡是 人 们 能 在 
本 地 计算 机 上 操作 的 功能 ,木马 基本 上 都 能 实现 。 

进入 21 世纪 后 ,木马 已 经 成 为 恶意 程序 中 增长 较 快 的 一 种 。 金 山 毒 霸 全 球 病毒 疫情 监 
测 系 统 的 数据 表明 ,多 年 来 在 每 年 的 新 增 恶 意 程序 中 ,木马 一 直 占 据 70%% 左 右 , 表 1. 2 为 
2006 一 2009 年 的 数据 。 此 外 ,木马 的 破坏 性 大 大 增强 。2010 年 的 数据 表明 ,新 型 木马 的 破 
坏 性 超过 传统 木马 的 10 倍 。 

表 1.2 2006 一 2009 年 金山 毒霸 全 球 病 毒 疫 情 监测 系统 截获 的 新 增 病毒 .木马 数量 


新 增 病毒 、 木 马 总 数量 新 增 木马 数量 比重 /% 


7659 


2006 


2007 11147 


2008 7 801 911 


13 899 717 


15 223 588 


20 684 223 


2009 


木马 是 一 种 危害 性 极 大 的 恶意 代码 。 它 执行 远程 非法 操作 者 的 指令 ,进行 数据 和 文件 
的 窃取 、 自 改 和 破坏 ,释放 病毒 ,以 及 使 系统 自 毁 等 任务 。 下 面 介绍 它 的 特征 。 
(1) 目的 性 和 功能 特殊 性 。 一 般 说 来 ,每 个 木马 程序 都 赋 有 特定 的 使 命 ,其 活动 目的 都 


比较 清楚 ,例如 盗号 木马 、 网 银 木 马 、 下 载 木 马 等 。 木 马 的 功能 都 是 十 分 特殊 的 ,除了 普通 的 
文件 操作 以 外 ,还 有 些 木 马 具 有 搜索 高 速 缓存 中 的 口令 .设置 口令 .扫描 目标 计算 机 的 IP 地 
址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 以 及 锁定 鼠标 等 功能 。 
(2) 非 授权 性 与 受 控 性 。 所 谓 非 授 权 性 是 指 木马 的 运行 不 需 由 受 攻击 系统 用 户 授权 ， 
所 谓 受 控 性 是 指 木 马 的 活动 大 都 是 由 攻击 者 控制 的 。 一 旦 控制 端 与 服务 器 端 建 立 连 接 后 ， 
控制 端 将 窃取 用 户 密 码 ,获取 大 部 分 操作 权限 ,如 修改 文件 、 修 改 注 册 表 .重启 或 关闭 服务 器 
。 23 。 


端 操作 系统 . 断 开 网 络 连 接 、 控 制服 务 器 端 鼠标 和 键盘 .监视 服务 器 端 桌面 操作 查看 服务 器 
端 进程 等 。 这 些 权 限 不 是 用 户 授 权 的 ,而 是 木马 自己 窃取 的 。 

C3) 非 自 繁殖 性 、 非 自传 播 性 与 预 和 性。 一 般 说 来 ,病毒 具有 极 强 的 感染 性 ,蠕虫 具有 
很 强大 的 传播 性 而 木马 不 具备 繁殖 性 和 自动 感染 的 功能 ,其 传播 是 通过 一 些 手段 植 和 的。 
例如 ,可 以 在 系统 软件 和 应 用 软件 的 文件 传播 中 人 为 植 人 ,也 可 以 在 系统 或 软件 设计 时 被 故 
意 放 置 进来 。 例 如 ,微软 公司 曾 在 其 操作 系统 设计 时 故意 放置 了 一 个 木马 程序 ,可 以 将 客户 
的 相关 信息 发 回 到 其 总 部 。 

(4) 欺骗 性 。 隐 藏 是 一 切 恶 意 代码 的 存在 之 本 。 而 木马 为 了 获得 非 授权 的 服务 ,还 要 
通过 欺骗 进行 隐藏 。 例 如 ,它们 使 用 的 是 常见 的 文件 名 或 扩展 名 ,如 dll\win\sys\explorer 
等 字样 ;或 者 仿制 一 些 不 易 被 人 区 别 的 文件 名 ,如 字母 1 与 数字 1 .字母 o 与 数字 0, 木 马 经 
常 修改 基本 文件 中 的 这 些 难以 分 辨 的 字符 ,更 有 其 者 干脆 借用 系统 文件 中 已 有 的 文件 名 ,只 
不 过 将 它 保存 在 不 同 的 路 径 之 中 。 木 马 通 过 这 些 手段 便 可 以 隐藏 自己 ,更 重要 的 是 ,通过 偷 
梁 换 柱 的 行动 ,让 用 户 把 它 当 作 要 运行 的 软件 启动 。 这 类 网 购 木马 利用 多 款 银行 交易 系统 
接口 ,后 台 自 动 查询 银行 卡 余额 ,可 将 中 毒 网 民 银 行 卡 的 所 有 余额 一 次 窃 走 。 例 如 " 秒 余 额 ” 
网 购 木马 采用 的 骗术 是 : 当 网 民 在 淘宝 网 买 完 东 西 ,骗子 说 你 的 订单 被 卡 单 了 ,需要 联系 某 
某 人 处 理 。 不 明 真 相 的 网 民 联 系 后 ,会 被 诱导 运行 不 明 程序 ,这 个 程序 就 是 网 购 木马 。 中毒 
后 ,只 要 网 民 继续 购物 ,就 会 造成 网 银 资 金 损失 。 

表 1. 3 为 木马 .病毒 以 及 蠕虫 的 特性 比较 。 

表 1.3 木马 .病毒 以 及 蠕虫 的 特性 比较 


木 马 病毒 蠕虫 
自我 繁殖 几乎 没有 强 强 
攻击 对 象 网 络 交 件 计算 机 、 进 程 
传播 途径 植 人 文件 感染 漏洞 
欺骗 性 强 一 般 一 般 
攻击 方式 窃取 信息 破坏 数据 消耗 资源 
远程 控制 可 再 否 
存在 形式 隐藏 寄生 在 宿主 程序 中 独立 存在 
运行 机 制 自主 运行 条 件 触发 自主 运行 


1.3.2 特洛伊 木马 分 类 


1. 根据 攻击 动作 方式 分 类 


1) 远程 控制 型 
远程 控制 型 是 木马 程序 的 主流 。 所 谓 远 程控 制 就 是 在 计算 机 间 通 过 某 种 协议 (如 
TCP/IP 协议 ?建立 一 个 数据 通道 。 通 道 的 一 端 发 送 命令 , 另 一 端 解释 并 执行 该 命令 ,并 通 
过 该 通道 返回 信息 。 简 单 地 说 ,就 是 采用 Client/Server( 客 户 机 /服务 器 ,简称 C/S) 工 作 
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模式 。 

采用 C/S 模式 的 木马 程序 都 由 两 部 分 组 成 : 一 部 分 为 被 控 端 (通常 是 监听 端口 的 
Server 端 ) , 另 一 部 分 称 为 控制 端 (通常 是 主动 发 起 连接 的 Client 端 ) 。 被 控 端 的 主要 任务 是 
隐藏 在 被 控 主 机 的 系统 内 部 ,并 打开 一 个 监听 端口 ,就 像 隐藏 在 木马 中 的 战士 等 待 着 攻击 的 
时 机 , 当 接 收 到 来 自控 制 端的 连接 请 求 后 ,主线 程 立 即 创建 一 个 子 线程 并 把 请 求 交 给 它 处 
理 ,同时 继续 监听 其 他 的 请 求 。 控 制 端的 任务 只 是 发 送 命令 ,并 正确 地 接收 返回 信息 。 

这 种 类 型 的 木马 运行 起 来 非常 简单 ,只 要 先 运 行 服 务 器 端 程序 ,同时 获得 远程 主机 的 
IP 地 址 ,控制 者 就 能 任意 访问 被 控制 端的 计算 机 ,从 而 使 远程 控制 者 在 本 地 计算 机 上 做 任 
何 想 做 的 事情 。 

2) 信息 窃取 型 

信息 窃取 型 木马 的 目的 是 收集 系统 上 的 敏感 信息 ,例如 用 户 登 录 类 型 .用 户 名 口令 和 
密码 等 。 这 种 木马 一 般 不 需要 客户 端 ,运行 时 不 会 监听 端口 ,只 悄悄 地 在 后 台 运 行 , 一 边 收 
集 敏感 信息 ,一 边 不 断 检测 系统 的 状态 。 一 旦 发 现 系统 已 经 连接 到 Internet 上 ,就 在 受害 者 
不 知情 的 情形 下 将 收集 的 信息 通过 一 些 常 用 的 传输 方式 (如 电子 邮件 ICQ FTP) 把 它们 发 
送 到 指定 的 地 方 。 

3) 键盘 记录 型 

键盘 记录 型 木马 只 做 一 件 事情 ,就 是 将 受害 者 的 键盘 敲 击 完整 地 记录 在 LOG 文件 中 。 

4) 毁坏 型 

毁坏 型 木马 以 毁坏 并 删除 文件 (如 受害 者 计算 机 上 的 DLL INI 或 EXE) 为 主要 目的 。 

2. 根据 木马 程序 的 功能 分 类 

1) 网 络 游戏 木马 

网 络 游戏 木马 常常 以 盗 取 网 游 账号 密码 为 目的 , 它 通 常 采用 记录 用 户 键盘 输入 Hook 
游戏 进程 API 函数 等 方法 获取 用 户 的 密码 和 账号 。 窃 取 到 的 信息 一 般 通过 发 送 电 子 邮 件 
或 向 远程 脚本 程序 提交 的 方式 发 送 给 木马 作者 。 

2) 网 银 木 马 

网 银 木 马 针 对 网 上 交易 系统 ,以 盗 取 用 户 的 卡号 、 密 码 甚 至 安全 证 书 为 目的 ,常常 造成 
受害 用 户 的 惨重 损失 。 这 类 木马 作者 可 能 首先 对 某 银行 的 网 上 交易 系统 进行 仔细 分 析 , 然 
后 针对 安全 薄弱 环节 编写 病毒 程序 。 如 2004 年 的 "网银 大 盗 ” 病 毒 ,在 用 户 进 入 工行 网 银 登 
录 页 面 时 ,会 自动 把 页 面 换 成 安全 性 能 较 差 .但 依然 能 够 运转 的 老 版 页 面 .然后 记录 用 户 在 
此 页 面 上 填写 的 卡号 和 密码 ;“ 网 银 大 盗 3” 利 用 招行 网 银 专 业 版 的 备份 安全 证 书 功 能 ,可 以 
盗 取 安全 证 书 。 

3) 即时 通信 软件 木马 

常见 的 即时 通信 类 木马 一 般 有 如 下 3 种 。 

(1) 发 送 消 息 型 。 这 类 木马 能 自动 发 送 含有 恶意 网 址 的 消息 ,让 收 到 消息 的 用 户 点 击 
网 址 中 毒 ,用 户 中 毒 后 又 会 向 更 多 好 友 发 送 病毒 消息 。 此 类 病毒 的 常用 技术 是 搜索 聊天 窗 
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口 ,进而 控制 该 窗口 自动 发 送 文 本 内 容 。 发 送 消 息 型 木马 常常 充当 网 游 木马 的 广告 ,如 “ 武 
汉 男 生 2005” 木 马 可 以 通过 MSN、QQ、UC 等 多 种 聊天 软件 发 送 带 毒 网 址 ,其 主要 功能 是 盗 
取 传 奇 游戏 的 账号 和 密码 。 

(2) 盗号 型 。 这 类 木马 的 工作 原理 和 网 游 木 马 类 似 。 病 毒 作 者 盗 得 他 人 账号 后 ,可 能 
偷 宕 聊天 记录 等 隐私 内 容 , 或 将 账号 卖 掉 。 

(3) 传播 自身 型 。 这 类 木马 可 以 发 布 消息 或 文件 。 它 们 多 通过 QQ 聊天 软件 发 送 自身 
进行 传播 ;基本 技术 都 是 搜寻 到 聊天 窗口 后 ,对 聊天 窗口 进行 控制 ,来 达到 发 送 文件 或 消息 
的 目的 。 

4) 网 页 点 击 类 木马 

网 页 点 击 类 木马 会 恶意 模拟 用 户 点 击 广告 等 动作 ,在 短 时 间 内 可 以 产生 数 以 万 计 的 点 
击 量 。 木 马 作 者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 此 类 木马 的 技术 简单 ， 
一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 

5) 下 载 类 木马 

这 种 木马 程序 的 体积 一 般 很 小 ,其 功能 是 从 网 络 上 下 载 其 他 病毒 程序 或 安装 广告 软件 。 
由 于 体积 很 小 ,它们 更 容易 传播 ,传播 速度 也 更 快 。 通 常 功能 强大 、 体 积 也 很 大 的 后 门类 病 
毒 ,如 * 灰 够 子 "“ 黑 洞 ? 等 ,传播 时 都 单独 编写 一 个 小 巧 的 下 载 型 木马 ,用 户 中 毒 后 会 把 后 门 
主 程序 下 载 到 本 机 运行 。 

6) 代理 类 木马 

用 户 感 染 代 理 类 木马 后 ,会 在 本 机 开启 HTTP、SOCKS 等 代理 服务 功能 。 黑 客 把 受 感 
染 计算 机 作为 跳板 ,以 被 感染 用 户 的 身份 进行 黑客 活动 ,达到 隐藏 自己 的 目的 。 


1.3.3 木马 的 功能 与 结构 
1. 木马 的 功能 


一 般 说 来 ,木马 具有 如 下 一 些 功能 。 

1) 远程 监视 ,控制 

远程 监视 和 控制 是 木马 最 主要 的 功能 ,通过 这 个 功能 ,可 以 让 黑客 就 像 使 用 自己 的 计算 
机 一 样 使 用 被 种 植 了 木马 的 计算 机 。 同 时 为 了 不 引起 对 方 的 察觉 ,也 可 以 只 是 远程 监视 , 则 
对 方 的 一 举 一 动 都 在 黑客 的 监视 之 下 。 并 且 当 对 方 有 摄像 头 时 ,还 可 以 自动 启动 摄像 头 捕 
提 图 像 , 相 当 于 监视 对 方 的 环境 。 

2) 远程 管理 

远程 管理 包括 很 多 功能 ,比如 远程 文件 管理 .远程 Telnet、 远 程 注册 表 管 理 等 ,这 些 都 是 
为 了 方便 黑客 控制 主机 而 设置 的 。 

3) 获得 主机 信息 并 发 送 消息 

在 客户 端 选 择 被 控 服 务 器 端 , 单 击 “ 远 程控 制 命令 ”标签 ,弹出 系统 信息 ,这 时 可 以 得 到 
被 控 服 务 器 端的 详细 信息 ,然后 将 这 些 消 息 发 送 到 客户 端 。 
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4) 修改 系统 注册 表 

木马 可 以 使 黑客 单 击 客户 端 上 的 “注册 表 编 辑 器 ”标签 ,展开 远程 主机 ,并 在 远程 主机 的 
注册 表 上 进行 修改 、 添 加 、 删 除 等 一 系列 操作 。 

5) 执行 远程 命令 

执行 远程 攻击 者 的 命令 。 

2. 木马 软件 的 结构 


木马 软件 一 般 由 木马 配置 程序 、 木 马 控制 程序 和 木马 程序 (服务 器 端 程序 一 受 控 端 程 
序 ) 组 成 。 

1) 木马 配置 程序 

木马 配置 程序 用 于 设置 木马 程序 的 端口 号 、 触 发 条 件 和 木马 名 称 等 ,使 其 在 服务 器 端 隐 
藏 更 深 。 

2) 木马 控制 程序 

木马 控制 程序 用 于 控制 远程 木马 服务 器 ,给 服务 器 发 送 指令 ,同时 接收 服务 器 传送 来 的 
数据 。 

3) 木马 程序 (服务 器 程序 ) 

木马 程序 (服务 器 程序 ) 驻 留 在 受害 系统 中 ,非法 获取 其 操作 权 , 负 责 接收 控制 指令 ,并 
根据 指令 或 配置 发 送 数 据 给 控制 端 。 


3. 木马 的 植 入 


为 了 有 效 地 工作 ,木马 一 般 都 采用 客户 /服务 器 形式 , 即 由 攻击 者 控制 的 客户 端 程序 和 
运行 在 被 控 计 算 机 端的 服务 器 程序 组 成 。 木 马 的 植 人 ,就 是 将 木马 的 服务 器 程序 放置 到 目 
标 主机 上 。 下 面 介 绍 木马 的 几 种 植 人 形式 。 

(1) 手工 放置 。 手 工 放 置 比 较 简 单 ,是 最 常见 的 做 法 。 手 工 放置 分 本 地 放置 和 远程 放 
置 两 种 。 本 地 放置 就 是 直接 在 计算 机 上 进行 安装 。 远 程 放 置 就 是 通过 常规 攻击 手段 使 获得 
目标 主机 的 上 传 权 限 后 ,将 木马 上 传 到 目标 计算 机 上 ,然后 通过 其 他 方法 使 木马 程序 运行 
起 来 。 

(2) 以 邮件 附件 的 形式 传播 。 控 制 端 将 木马 改头换面 ,然后 将 木马 程序 添加 到 附件 中 ， 
发 送 给 收 件 人 。 

(3) 通过 OICQ 对 话 , 利 用 文件 传送 功能 发 送 伪 装 了 的 木马 程序 。 

(4) 捆绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 安 装 程序 运行 时 , 木 
马 在 用 户 毫 无 察觉 的 情况 下 偷偷 地 进入 了 系统 。 被 捆绑 的 文件 一 般 是 可 执行 文件 ( 即 
EXE COM 一 类 的 文件 ) 。 

(5) 通过 病毒 或 蠕虫 程序 传播 。 

(6) 通过 U 盘 或 光盘 传播 。 
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4. 木马 程序 的 一 般 隐 藏 策略 


隐藏 是 一 切 恶 意 代码 生存 之 本 ,欺骗 是 通过 伪装 来 实现 隐藏 的 一 种 技巧 。 下 面 介绍 木 
马 的 几 种 隐藏 手段 。 

(1) 隐蔽 进程 。 服 务 器 端 想 要 隐藏 木马 ,可 以 伪 隐 藏 :也 可 以 真 隐 藏 。 伪 隐藏 ,就 是 指 
程序 的 进程 仍然 存在 ,只 不 过 是 让 它 消失 在 进程 列表 里 。 真 隐藏 则 是 让 程序 彻底 消失 ,不 以 
一 个 进程 或 者 服务 的 方式 工作 。 

伪 隐 藏 的 方法 比较 简单 。 在 Windows 9x 系统 中 ,只 要 把 木马 服务 器 端的 程序 注册 为 
一 个 服务 (在 后 台 工 作 的 进程 ) 就 可 以 了 。 这 样 , 木 马 程序 就 会 从 任务 列表 中 消失 ,系统 不 再 
认为 其 是 一 个 进程 , 当 按 下 Ctrl 十 Alt 十 Delete 键 的 时 候 , 也 就 看 不 到 这 个 进程 。 对 于 
Windows NT、Windows 2000 等 ,通过 服务 管理 器 , 则 要 使 用 API 的 拦截 技术 ,通过 建立 一 
个 后 台 的 系统 钩子 ,拦截 PSAPI 的 EnumProcessModules 等 相关 的 函数 来 实现 对 进程 和 服 
务 的 遍历 调用 的 控制 , 当 检 测 到 进程 ID(PID) 为 木马 程序 的 服务 器 端 进程 的 时 候 直 接 跳 过 ， 
这 样 就 实现 了 进程 的 隐藏 。 

当 进 程 为 真 隐 藏 的 时 候 , 木 马 完全 融 进 了 系统 内 核 , 因 此 就 不 把 它 做 成 一 个 应 用 程序 ， 
其 服务 器 程序 运行 之 后 ,就 不 具备 一 般 进 程 的 特征 ,也 不 具备 服务 的 特征 。 

(2) 修改 文件 标志 。 将 木马 文件 伪装 成 图 像 .HTMI、TXT、ZIP 等 文件 。 

(3) 伪装 成 应 用 程序 扩展 组 件 。 将 木马 程序 写成 任何 类 型 的 文件 (如 DLL,OCX 等 )， 
然后 挂 在 十 分 出 名 的 软件 中 ,因为 人 们 一 般 不 怀疑 这 些 软件 。 

(4) 错觉 欺骗。 利用 人 的 错觉 ,例如 故意 混淆 文件 名 中 的 1( 数 字 ) 与 1(L 的 小 写 ) .0( 数 
字 ) 与 o( 字 母 ) 或 O( 字 母 ) 。 

(5) 合并 程序 欺骗 。 合 并 程序 就 是 将 两 个 或 多 个 可 执行 文件 结合 为 一 个 文件 ,使 这 些 
可 执行 文件 能 同时 执行 。 木 马 的 合并 欺骗 就 是 将 木马 绑 定 到 应 用 程序 中 。 

(6) 出 错 显示 一 一 施放 烟幕 弹 。 有 一 定 木 马 知识 的 人 都 知道 ,如果 打开 一 个 文件 ,没有 
任何 反应 ,这 很 可 能 就 是 一 个 木马 程序 ,木马 的 设计 者 也 意识 到 了 这 个 缺陷 ,所 以 已 经 有 木 
马 提供 “出 错 显 示 ? 功 能 。 当 服务 器 端 用 户 打开 木马 程序 时 ,会 弹出 一 个 错误 提示 框 ( 这 当然 
是 假 的 ) ,错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 ”文件 已 破坏 ,无 法 打开 !? 之 类 的 信 
息 , 当 服务 端 用 户 信以为真 时 ,木马 却 悄悄 侵入 了 系统 。 

(7) 定制 端口 。 很 多 老式 的 木马 端口 都 是 固定 的 ,这 给 用 户 判 断 是 否 感染 了 木马 带 来 
了 方便 ,只 要 查 一 下 特定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 
定制 端口 的 功能 ,控制 端 用 户 可 以 在 1024 一 65 535 之 间 任 选 一 个 端口 作为 木马 端口 (一 般 
不 选 1024 以 下 的 端口 ) ,这样 就 给 用 户 判 断 系统 所 感染 的 木马 类 型 带 来 了 麻烦 。 

(8) 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,因此 只 要 根据 一 
些 查 杀 木马 的 文章 按 图 索 双 ,在 系统 文件 夹 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 所 
以 现在 有 很 多 木马 都 允许 控制 端 自由 定制 安装 后 的 木马 文件 名 ,这 样 用 户 就 很 难 判 断 所 感 
染 的 木马 类 型 了 。 

a 


5. 便于 木马 启动 的 隐藏 方式 


植 入 目标 主机 的 木马 只 有 启动 运行 ,才能 开启 后 门 为 攻击 者 提供 服务 。 为 了 便于 启动 ， 
可 以 将 木马 程序 隐藏 在 下 列 位 置 。 

(1) 集成 到 程序 中 。 作 为 一 种 客户 /服务 器 程序 ,木马 为 了 不 让 用 户 能 轻易 地 把 它 删 
除 ,就 常常 集成 到 程序 里 ,一 旦 用 户 激活 木马 程序 ,木马 文件 就 会 和 某 一 应 用 程序 捆绑 在 一 
起 ,然后 上 传 到 服务 器 端 覆盖 原文 件 , 这 样 即 使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 
程序 ,木马 又 会 被 安装 上 去 了 。 如 果 它 绑 定 到 系统 文件 ,那么 每 一 次 系统 启动 均 会 启动 
木马 。 

(2) 隐藏 在 配置 文件 中 。 利 用 配置 文件 的 特殊 作用 ,木马 很 容易 在 计算 机 中 运行 、 发 
作 ,从 而 偷 宕 或 者 监视 其 他 计算 机 。 不 过 ,这 种 方式 不 是 很 隐蔽 ,容易 被 发 现 。 

(3) 潜伏 在 Win.ini 中 。Win. ini 通常 是 木马 比较 民意 的 潜伏 地 方 。 因 为 Win. ini 的 
Lwindowsj 字 段 中 有 启动 命令 load 二 和 run 一。 在 一 般 情况 下 二 后面 是 空白 的 ,这 为 木马 程 
序 留 了 一 个 合适 的 隐藏 场所 。 

(4) 隐藏 在 System. ini 中 。Windows 安装 目录 下 的 System. ini 为 木马 提供 了 下 列 隐 
藏 场所 。 

@ 木马 程序 可 以 接 在 System. ini 的 [bootj 字 段 的 hell 二 Explorer. exe 后 面 。 

@@ System. ini 中 的 L386Enhj 字 有 段 的 “driver 二 路 径 \ 程 序 名 ”也 有 可 能 被 木马 所 利用 。 

@ System. ini 中 的 Lmicj、Ldrivers]、Ldrivers32] 这 3 个 字段 也 是 起 到 加 载 驱 动 程序 的 
作用 ,也 是 增添 木马 程序 的 场所 。 

(5) 隐蔽 在 Winstart. bat 中 。 Winstart. bat 也 是 一 个 能 自动 被 Windows 加 载运 行 的 
文件 , 它 多 数 情 况 下 为 应 用 程序 及 Windows 自动 生成 ,在 执行 了 Win. com 并 加 载 了 多 数 
驱动 程序 之 后 开始 执行 (这 一 点 可 通过 启动 时 按 F8 键 再 选择 逐步 跟踪 启动 过 程 的 启动 方 
式 得 知 ) 。 由 于 autoexec. bat 的 功能 可 以 由 Winstart. bat 代替 完成 ,因此 木马 完全 可 以 像 
在 autoexec. bat 中 那样 被 加 载运 行 。 

(6) 捆绑 在 启动 配置 文件 中 。 黑 客 利 用 应 用 程序 的 启动 配置 文件 能 启动 程序 的 特点 ， 
将 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 器 端 履 盖 这 同名 文件 ,这 样 就 可 以 达 
到 启动 木马 的 目的 了 。 

(7) 设置 在 超级 连接 中 。 木 马 的 主人 在 网 页 上 放置 恶意 代码 ,引诱 用 户 点 击 。 

(8) 加载 程 序 到 启动 组 。 木 马 隐 藏 在 启动 组 ,虽然 不 是 十 分 隐蔽 ,但 非常 便于 自动 加 载 
运行 。 常 见 的 启动 组 如 下 : 

中 “开始 ? 汪 单 中 的 启动 项 ,对 应 的 文件 夹 是 C:\Documents and Settings\ 用 户 名 \L 开 
始 j 菜 单 \ 程 序 \ 启 动 。 

@ 注册 表 [HKEY CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersionNRunj] 项 。 

@ 注册 表 [LHKEY_ LOCAL_ MACHINEA SOFTWAREANA Microsoft\ Windows \ 
CurrentVersionNRun] 项 。 

(9) 注册 成 为 服务 项 。 将 服务 器 端 程序 注册 为 一 个 自 启动 的 服务 也 是 木马 常用 的 手 
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段 , 其 在 注册 表 中 的 键 值 是 [HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
ServicesN\] ,比如 * 灰 鸽子 ?就 是 这 样 。 


1.3.4 木马 的 连接 与 远程 控制 
1. 木马 的 连接 


从 连接 方法 来 分 ,木马 可 以 分 为 3 类: 正 向 连接 型 \. 反 向 连接 型 和 反弹 连接 型 。 

(1) 正 向 连接 型 。 这 种 类 型 的 客户 端 连 接 服务 器 的 时 候 是 直接 根据 服务 器 的 IP 地 址 
和 端口 来 进行 连接 ,比如 Penumbra。 这 种 方法 直观 、 简 单 ,但 同时 也 存在 相应 的 缺陷 。 它 
要 求知 道 对 方 的 IP。 这 对 于 不 是 固定 IP 的 被 控 端 而 言 ,过 一 段 时 间 IP 改变 后 ,控制 端 就 无 
法 连接 了 。 为 了 弥补 这 个 问题 ,一 些 正 向 连接 型 的 木马 工具 提供 了 开机 发 邮件 通知 等 方法 
在 被 控 端 一 开机 时 就 把 主机 信息 通知 给 控制 端 。 但 对 于 有 防火 墙 的 主机 ,这 种 方法 就 不 一 
定 能 成 功 ,毕竟 防火 墙 对 于 这 种 直接 连接 是 比较 敏感 的 。 基 于 以 上 缺陷 ,发 展 出 了 后 面 的 反 
向 连接 型 木马 。 

(2) 反 向 连接 型 。 在 反 向 连接 型 木马 系统 中 ,不 再 是 由 控制 端 去 连接 被 控 端 ,而 是 控制 
端 自动 监听 ,由 被 控 端 来 进行 连接 ,比如 * 流 蓝 ”。 这 个 办 法 可 以 很 好 地 解决 正 向 连接 所 遇 到 
的 问题 ,但 这 种 方法 要 求 控 制 端 有 一 个 固定 的 公 网 IP。 如 果 控 制 端 IP 是 自动 分 配 的 话 , 过 
一 段 时 间 后 IP 发 生变 化 , 则 被 控 端 就 不 可 能 连接 到 了 。 

(3) 反弹 连接 型 。 这 种 木马 由 反 向 连接 型 发 展 而 来 , 它 也 是 由 被 控 端 去 连接 控制 端 ,但 
其 被 控 端 的 木马 程序 不 知道 控制 端的 IP, 而 是 知道 一 个 固定 的 网 页 文件 地 址 ,这 个 地 址 一 
般 是 网 上 的 免费 空间 。 典 型 的 例子 就 是 " 灰 名 子 ”。 


2. 木马 的 远程 控制 


木马 连接 建立 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 。 控 制 端 上 的 控制 端 
程序 可 通过 这 条 通道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 器 端 进 行 远 
程控 制 。 

(1) 窃取 密码 。 一 切 以 明文 的 形式 、* 形式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 
到 。 此 外 很 多 木马 还 提供 击 键 记录 功能 , 它 将 会 通过 记录 服务 器 端 每 次 击 键 的 位 置 和 动作 ， 
计算 出 键入 的 内 容 。 所 以 一 旦 有 木马 入 侵 , 密 码 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控 制 端 可 通过 远程 控制 对 服务 器 端 上 的 文件 进行 删除 、 新 建 、 修 改 、 
上 传 . 下 载 .运行 ` 更 改 属 性 等 一 系列 操作 ,基本 涵盖 Windows 平 台 上 所 有 的 文件 操作 
功能 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 器 端 注 册 表 ,包括 删除 新 建 , 或 修改 主键 、 子 
键 \ 键 值 。 有 了 这 项 功能 ,控制 端 就 可 以 禁止 服务 端 U 盘 、 光 驱 的 使 用 , 锁 住 服务 器 端的 注 
册 表 ,将 服务 器 端 上 木马 的 触发 条 件 设 置 得 更 隐蔽 的 一 系列 高 级 操作 。 

(4) 系统 操作 。 这 项 内 容 包括 重启 或 关闭 服务 器 端 操 作 系统 , 断 开 服务 器 端 网 络 连接 ， 
控制 服务 器 端的 鼠标 和 键盘 ,监视 服务 器 端 桌 面 操作 ,查看 服务 器 端 进程 等 ,控制 端 甚 至 可 
以 随时 给 服务 器 端 发 送信 息 。 
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3. 木马 的 数据 传送 


木马 程序 的 数据 传递 方法 有 很 多 种 ,通常 是 靠 TCP、UDP 传输 数据 。 这 时 可 以 利用 
Winsock 与 目标 机 的 指定 端口 建立 起 连接 .使 用 send 和 recv 等 API 进行 数据 的 传递 ,但 是 
这 种 方法 的 隐蔽 性 比较 差 ,往往 容易 被 一 些 工 具 软 件 查 看 到 。 例 如 ,在 命令 行 状态 下 使 用 
netstat 命令 ,就 可 以 查看 到 当前 的 活动 TCP、UDP 连接 。 


4. 数据 传送 时 躲避 侦察 的 方法 


木马 常用 以 下 3 种 方法 躲避 数据 传送 时 的 侦察 。 

(1) 合并 端口 法 : 使 用 特殊 的 手段 ,在 一 个 端口 上 同时 绑 定 两 个 TCP 或 者 UDP 连接 
(比如 80 端口 的 HTTP) ,通过 把 自己 的 木马 端口 绑 定 于 特定 的 服务 端口 (比如 80 端口 的 
HTTP) 之 上 达到 隐藏 端口 的 目的 。 

(2) 修改 ICMP 头 法 : 使 用 ICMP(Internet Control Message Protocol) 进行 数据 发 送 ， 
同时 修改 ICMP 头 , 加 入 木马 的 控制 字段 。 这 样 的 木马 具备 很 多 新 的 特点 ,如 不 占用 端口 ， 
使 用 户 难 以 发 觉 ,并 可 以 穿 透 一 些 防火 墙 ,从 而 增 大 了 防范 的 难度 。 

(3) 为 了 避免 被 发 现 ,木马 程序 必须 很 好 地 控制 数据 传输 量 ,例如 把 屏幕 画面 切 分 为 多 
个 部 分 ,并 将 画面 存储 为 JPG 格式 ,使 压缩 率 变 高 ,使 数据 变 得 十 分 小 ,甚至 在 屏幕 没有 改 
变 的 情况 下 传送 的 数据 量 为 0。 


实验 1 判断 并 清除 木马 
1. 实验 目的 


(1) 掌握 在 TCP/IP 系统 中 判断 木马 的 方法 。 
(2) 掌握 手工 清除 常见 木马 的 基本 方法 。 


2. 查看 开放 端口 进行 木马 判断 


当前 最 常见 的 木马 是 基于 TCP/IP 协议 ,按照 C/S 模式 工作 的 。 这 样 ,被 种 上 木马 的 
服务 器 就 会 打开 监听 端口 等 待 连接 。 例 如 ,冰河 木马 的 监听 端口 是 7626,Back Orifice 2000 
使 用 的 端口 是 54320, 因 此 ,通过 查看 本 机 开放 端口 ,就 可 以 判定 自己 的 计算 机 是 否 中 了 木 
马 或 其 他 黑客 程序 。 

下 面 介 绍 几 种 查看 开放 端口 的 方法 。 

(1) 使 用 Windows 自身 带 的 命令 netstat。 

netstat 命令 是 Windows 自 带 的 运行 在 TCP/IP 环境 的 一 个 命令 。 它 可 以 显示 并 统计 
有 关连 接 和 侦 听 端口 。 其 命令 格式 如 下 : 


netstat [-a] [-e] [-n] [-s] [-PProtocol] [-r] [interval] 
命令 中 各 参数 意义 如 下 。 


-a: 显示 所 有 连接 和 侦 听 端口 。 
-e: 显示 以 太 网 统计 ,可 以 与 -s 选项 结合 使 用 。 
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-n: 以 数字 格式 显示 地 址 和 端口 号 。 

-s: 显示 protocol 指定 的 协议 的 统计 ,默认 协议 为 TCP、UDP、ICMP 和 IP。 
-p: 显示 protocol 指定 的 连接 。 

-r: 显示 路 由 表 内 容 。 

interval: 重新 显示 所 选 的 统计 ,每 次 显示 之 间 的 暂停 时 间 由 interval 设 定 。 
(2) 在 Windows 2000 下 使 用 命令 行 工具 fport。 

(3) 使 用 与 fport 功能 相同 的 图 形 界面 工具 Active Ports 。 


3. 常见 木马 的 手工 清除 方法 
不 同 的 木马 根据 其 工作 原理 和 危害 有 不 同 的 手工 清除 方法 ,这 些 方法 在 网 络 上 可 以 搜索 到 。 
4. 实验 准备 


(1) 上 网 搜索 一 种 可 以 查看 开放 端口 的 工具 ,记录 安装 和 使 用 方法 。 
(2) 上 网 搜索 并 记录 多 种 木马 的 手工 清除 方法 。 


5. 实验 内 容 


(1) 下 载 并 安装 一 种 查看 开放 端口 的 软件 。 
(2) 用 下 载 的 软件 查看 自己 的 计算 机 的 端口 。 
(3) 记录 查看 软件 的 显示 内 容 。 

(4) 对 所 发 现 的 木马 进行 手工 清除 。 


6. 推荐 的 分 析 讨 论 内 容 


(1) 你 遇 到 过 哪些 木马 ? 它们 有 哪些 危害 ? 
(2) 你 使 用 过 哪 几 种 端口 查看 命令 或 软件 ? 它们 各 有 什么 特点 ? 
(3) 其 他 发 现 或 想到 的 问题 。 


1.3.5 关于 恶意 代码 的 概念 


前 面 介绍 的 病毒 (virus) .蠕虫 (worm)、 特 洛 伊 木马 (Trojan horse)、 陷 门 Ctrap doors)、 


僵尸 (bot) 等 。 它 们 都 是 一 些 程序 代码 。 由 于 它们 都 是 对 于 信息 系统 具有 不 良 作 用 的 代码 ， 
所 以 被 统称 为 恶意 代码 (malicious code) 或 恶意 程序 (malicious program) 。 一 般 说 来 ,恶意 
代码 是 指 一 类 特殊 的 程序 代码 ,它们 通常 在 用 户 不 知晓 也 未 授权 的 情况 下 潜入 到 计算 机 系 
统 中 ,对 系统 产生 不 良 影响 。 


除了 上 述 介绍 的 几 种 恶意 代码 此 之 外 ,属于 恶意 代码 的 还 有 多 种 ,例如 : 
(1) 逻辑 炸弹 (logic bomb): 和 能 和 人 某 些 合法 程序 的 一 段 代 码 , 没 有 自我 复制 功能 ,通常 


被 预 置 于 较 大 的 程序 中 ,等 待 某 随 机 事件 发 生 触 发 其 破坏 行为 。 


(2) 细菌 (germ) : 一 种 在 计算 机 系统 中 不 断 进行 自我 复制 的 程序 ,它们 通过 不 断 复 制 


来 占有 系统 资源 。 细 菌 也 具有 独立 性 。 这 两 点 与 蠕虫 相同 ,但 是 ,蠕虫 一 般 要 利用 一 些 网 络 
工具 进行 繁殖 ,而 细菌 可 以 自己 繁殖 。 
信访 


(3) 恶意 广告 : 采用 强制 弹出 、 欺 骗 安装 等 形式 的 网 络 广 告 ,典型 的 有 “ 插 屏 流 误 ”"、“ 千 
尺 游 戏 大 厅 ”推荐 的 应 用 和 恶意 积分 墙 等 。 

(4) Cookie 与 网 络 自 忠 :Cookie( 小 甜 饼 ) 是 一 种 由 服务 器 生成 ,发 送 到 用 户 端 (一 般 是 
浏览 器 ) 的 文本 文件 ,专门 用 于 保存 登录 过 服务 器 网 站 的 用 户 名 、 和 密码 、 浏 览 过 的 网 页 、 停 留 
的 时 间 等 信息 ,以 便 提 高 网 站 和 用 户 之 间 的 交互 效率 。 这样, 当 该 用 户 再 次 访问 同一 网 站 
时 ,服务 器 就 可 以 决定 不 要 用 户 输入 用 户 名 和 密码 直接 进入 已 经 登录 状态 ,甚至 还 会 根据 用 
户 的 访问 历史 主动 提供 有 关 信 息 。Cookie 在 生成 时 就 会 被 指定 一 个 Expire 值 , 这 就 是 
Cookie 的 生存 周期 ,在 这 个 周期 内 Cookie 有 效 ,超出 周期 Cookie 就 会 被 清除 。 有 些 页 面 将 
Cookie 的 生存 周期 设置 为 0 或 负 值 ,这 样 在 关闭 浏览 器 时 就 马上 清除 Cookie, 不 会 记录 用 
户 信息 ,更 加 安全 。 通 常 ,Cookie 是 没有 危害 的 。 但 是 有 些 互联 网 企业 为 了 发 现 “ 商 机 ”, 把 
“小 甜 饼 ” 变 成 了 “网 络 自 虫 ”Web bug, 也 称 为 网 络 信 标 beacon)。“ 网 络 自 虫 "是 
一 段 恶 意 代码 ,它们 用 于 收集 用 户 信 息 、 用 户 访 问 过 的 网 页 、 停 留 时 间 、 购 买 的 商品 等 个 人 偏 
好 信息 ,通过 统计 分 析 这 些 个 人 信息 ,向 用 户 精准 投放 广告 ,或 者 再 向 其 他 需要 这 些 个 人 信 
息 的 公司 出 售 获 利 。 

(5) 各 种 黑客 工具 。 

有 时 ,人 们 也 将 上 述 各 种 恶意 代码 统称 为 病毒 。 这 时 ， 病 毒 ” 就 是 一 个 广义 的 概念 。 


1.4 通信 和 窃听 


窃听 是 指使 用 专用 技术 装备 直接 秘密 窃取 侦察 目标 的 话音 、 图 像 等 信息 ,从 中 获得 情报 
的 一 种 手段 ,是 窃听 、 窃 视 、 窃 录 、 窃 照 的 总 称 。 窃 听 是 伴随 着 竞争 出 现 的 。 在 人 类 社会 中 ， 
军事 、 外 交 、 商 业 和 政治 斗争 是 竞争 最 为 激烈 的 领域 ,窃听 行为 也 主要 发 生 在 这 些 领 域 。 

窃听 渠道 多 种 多 样 ,技术 形形色色 。 本 节 介 绍 基于 通信 的 5 类 监听 (声波 监听 电磁波 
监听 ,光缆 监听 手机 监听 和 共享 网 络 中 监听 ) 。 


1.4.1 世界 著名 监听 案例 
1. 村 里 疾 控 地道 监听 


据 称 , 有 史料 记载 的 最 早 的 窃听 事件 发 生 在 战国 时 期 . 《韩非子 "外 储 说 右上 》 记 载 , 构 
Ccha) 里 疾 ( 见 图 1. 10) 是 秦 惠 王 的 弟弟 ,他 足智多谋 ,很 受 秦 王 
宠爱 。 后 来 ,秦王 手下 来 了 一 个 叫 公 孙 衍 的 谋士 ,获得 了 秦王 
赏识 。 为 了 保住 自己 的 地 位 ,楼 里 疾 在 秦王 宫殿 下 面 挖 了 条 地 
道 ,每 当 秦 王 单独 召见 公孙 衡 , 楼 里 疾 就 潜入 地 道 窃 听 他 们 谈 
话 ,并 最 终 靠 窃 听 得 到 的 消息 挤 走 了 公孙 衍 。 这 种 窃听 方式 是 
非常 笨 的 ,要 受 许多 条 件 的 限制 。 


2. 美国 驻 苏 大 使 馆 中 的 美国 国徽 


1960 年 的 联合 国 大 会 期 间 , 当 与 会 代表 争论 美国 U-2 间谍 飞机 在 苏联 领土 上 被 击落 的 
。 33 。 


图 1.10 村 里 疾 


事件 时 ,美国 大 使 享 利 " 卡 波 特 * 洛 奇 决 定 放手 一 搏 。 他 拿 出 一 个 木 制 的 美国 国徽 ,是 苏 美 
友好 协会 赠送 给 美国 驻 莫斯科 大 使 馆 的 礼物 。 他 用 一 个 狠 子 从 鹰 嘴 处 取 下 一 个 微小 的 麦克 
风 ,苏联 对 美国 间谍 飞机 的 遗 责 企 图 因此 而 落 败 。 

1943 年 ,斯 大 林 下 令 对 美国 大 使 阿 维 列 拉 “。 卡 里 曼 进行 窃听 。1945 年 2 月 雅尔塔 会 议 
期 间 ,4 名 苏联 少先队 员 抬 着 一 枚 由 各 种 名 贵 木料 拼装 而 成 的 美国 国徽 送 给 卡 里 曼 。 这 枚 
内 藏 “ 金 层 ”( 它 不 需要 电池 和 外 来 电流 ,就 可 以 接收 到 300m 以 内 大 耗 电 量 振荡 器 所 发 出 的 
微波 脉冲 ) 的 美国 国徽 ( 见 图 1. 人 克格勃 窃听 美 
国 大 使 的 “自白 ”的 行动 便 开 始 启动 ,持续 了 8 年 , 送 走 了 4 任 美国 大 使 。 这 个 事件 被 称 为 苏 
联 的 “ 金 层 行 动 ”。 


3. 美国 的 “常春 芯 之 铃 ” 


在 冷战 最 激烈 的 1971 年 ,美国 “大 比目鱼 ”号 潜艇 ( 见 图 1. 12) 奉 命 前 往 鄂 堆 次 克海 , 执 
行 代 号 为 “常春 苹 之 铃 ” 的 行动 。 潜 水 员 们 沿 着 鄂 霍 次 克海 北部 水 下 120m 的 深 处 艰难 地 发 
现 一 串 “ 禁 止 靠 近 ” 的 标记 后 ,找到 了 一 条 苏联 军事 通信 电缆 。 这 是 一 条 苏联 位 于 符 拉 迪 沃 
斯 托 克 的 太平 洋 舰 队 司令 部 与 彼得 罗 巴 甫 洛 夫 斯 克 潜 艇 基地 进行 联络 的 电缆 。 电 缆 中 的 信 
号 虽 是 编码 的 ,但 却 并 未 加 密 。 潜 水 员 们 在 这 条 电缆 上 安装 了 能 录 下 所 有 谈话 的 窃听 器 。 
ua 个 长 约 5m、 直 径 约 1.2m 的 钢 柱 ,内 置 包含 提供 能 源 的 久 电池 和 录音 设备 。 该 

音 设备 能 够 在 电缆 有 信和 号 时 自动 开机 ,最 多 可 录 下 长 达 150 小 时 的 通话 。 美 军 潜水 员 每 
et 次 , 取 回 录 好 的 录音 带 , 换 上 新 录音 带 。 五 角 大 楼 确信 这 个 计划 很 成 功 ,随后 在 其 
他 几 处 苏联 通信 和 电缆 上 也 安装 了 类 似 的 窃听 设备 。 


Le 
图 1.11 美国 揭露 苏联 的 “ 金 层 行 动 ” 图 1.12 “大 比目鱼 ”号 潜艇 


“常春 苹 之 铃 ” 行 动 延续 了 10 年 之 久 。 直 到 1981 年 ,美国 国安 局 的 一 位 雇员 将 这 一 秘 
密 卖 给 了 莫斯科 ,该 行动 才 被 苏联 知晓 。 英 斯 科 为 了 掩护 美国 线 人 ,声称 是 在 修理 被 渔船 久 
坏 的 电缆 过 程 中 误 打 误 撞 发 现 了 此 事 。 


4. 美国 驻 罗 马 尼 亚 大 使 的 “皮鞋 窃听 案 ” 


1969 年 春 ,美国 驻 罗马 尼 亚 大 使 被 监听 ,保安 军官 最 后 在 大 使 皮鞋 左 脚 的 鞋 后 跟 里 发 
现 了 一 只 大 功率 苏 制 K9R 窃听 器 ,这 只 皮鞋 曾 由 大 使 馆 里 的 一 个 “ 女 佣 ” 拿 去 修理 过 。 在 
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“修理 ”过 程 中 , 鞋 后 跟 被 人 割 开 , 装 进 了 这 个 重量 不 到 5. 7g 的 窃听 器 ( 见 图 1. 13) , 鞋 跟 上 
还 挖 了 一 个 小 孔 ,使 窃听 器 的 麦克 风头 露出 来 ,在 另 一 个 小 洞 里 插 着 一 根 钢 针 。 这 样 ,只 要 
“ 女 佣 ?在 夜里 把 针 拔 出 来 就 关闭 了 窃听 器 ,而 早上 在 大 使 起 床 前 把 钢 针 一 踩 进去 ,就 又 开启 
了 窃听 器 。 


5. 牙齿 中 的 发 报 机 


米 里 亚 姆 ( 见 图 1. 14) 在 意大利 是 一 位 家 喻 户 晓 的 人 物 , 她 拥有 全 意大利 最 大 的 侦探 社 
之 一 ,据说 年 营业 额 逾 一 亿美 元 ,在 全 球 更 有 超过 1400 名 合作 伙伴 。 发 生 在 这 位 风云 人 物 
身上 的 有 趣 故 事 是 : 她 在 牙医 协助 下 把 窃听 器 装 在 丈夫 的 牙齿 里 ,把 其 曾 夸 下 海口 说 她 绝 
对 抓 不 到 他 “ 偷 腥 ” 把 柄 的 老公 变 成 了 前 夫 。 


图 1.13 皮鞋 中 的 窃听 器 图 1.14 意大利 女 侦 探 米 里 亚 姆 


6. 尼克 松 的 "水 门 事件 ” 


1972 年 6 月 17 日 凌晨 ,有 5 个 人 企图 潜入 位 于 华盛顿 水 门 大 厦 的 美国 民主 党 总 部 时 
被 警方 抓获 。 他 们 潜入 水 门 大 厦 是 为 了 更 换 此 前 被 安放 在 民主 党 总 部 但 已 失效 的 窃听 设 
备 , 不 料 当 场 被 擒 。 经 过 两 年 的 调查 ,“ 水 门 事件 "终于 暴露 了 尼克 松 在 1972 年 利用 非法 手 
段 谨 得 总 统 连任 的 政治 丑闻 ,尼克 松 的 两 名 竞选 顾问 和 其 他 近 30 名 政府 官员 先后 遭 到 起 
诉 ,尼克 松 也 在 强大 的 压力 下 于 1974 年 8 月 9 日 辞职 ,成 为 美国 历史 上 唯一 一 位 辞职 的 总 
统 。 图 1.15 为 尼克 松 发 表 辞 职 演说 的 电视 画面 。 


7. 密 特 朗 窃听 门 


弗 朗 索 瓦 ， 密 特 朗 (Francois Mitterrand, 见 图 1. 16) 于 1981 一 1995 年 任 法 国 总 统 。 
1982 年 8 月 18 日 ,当时 的 法 国 总 统 密 特 朗 下 令 组 建 一 个 “ 反 怒 怖 合作 、 信 息 和 行动 委员 
会 ,并 将 这 一 任务 交 给 了 当时 的 国家 宪兵 快速 行动 小 组 负责 人 普 鲁 托 。 在 普 鲁 托 的 领导 
下 ,法 国 秘密 建立 了 “爱丽 舍 宫 电话 监听 系统 ”。 这 一 系统 的 初衷 是 预防 您 怖 事件 的 发 生 , 但 
这 一 职能 很 快 得 到 了 “延伸 ”。1982 年 8 月 28 日 , 普 鲁 托 将 窃听 系统 的 触角 伸 向 了 某 政 要 
的 私人 住宅 ,而 这 一 行动 受到 了 密 特 朗 总 统 的 “理解 与 支持 ”。 


。 35 。 


图 1.15 尼克 松 发 表 秤 职 电视 演说 图 1.16 弗 朗 索 瓦 。 密 特 朗 


1997 年 2 月 ,调查 人 员 在 一 个 汽车 修理 广内 发 现 一 批 普 鲁 托 的 个 人 资料 ,其 中 有 部 分 
材料 显示 ,前 总 统 密 特 朗 曾 发 布 过 有 关 窃 听 的 命令 。 经 过 数 年 调查 确认 ,该 系统 1983 一 
1986 年 对 250 位 公众 人 物 进行 了 非法 的 电话 窃听 。 为 此 ,有 12 名 密 特 朗 的 前 助手 成 为 了 
被 告 ,而 密 特 朗 于 1996 年 1 月 去 世 , 躲 过 了 司法 追究 。 


8. 苏联 解体 的 导 火 索 


1991 年 7 月 底 ,前 苏联 领导 人 艾 尔 巴 乔 夫 同 当时 的 俄罗斯 总 统 叶 利 钦 和 哈萨克 斯 坦 总 
统 纳 扎 尔 巴 耶 夫 的 机 密 电 话 被 窃听 。 当 时 3 人 谈 到 

克格勃 首脑 克 留 奇 科 夫 和 国防 部 长 亚 佐 夫 的 去 留 , 戈 
尔 巴 乔 夫 认 为 "那些 达到 退休 年 龄 和 构成 负担 的 人 应 
该 被 蔡 换 ”。 谈 话 被 克格勃 秘密 偷 听 并 录音 , 克 留 奇 
科 夫 利用 录音 胁迫 亚 佐 夫 共 同 发 难 。1991 年 8 月 19 
日 ,以 克 留 奇 科 夫 为 首 的 “紧急 状态 委员 会 "发动 政 
变 ,政变 终 因 人 民 反 对 军队 倒戈 而 流产 ,苏联 也 在 政 
变 中 宣告 解体 。 图 1. 17 为 苏联 解体 过 程 中 的 叶利钦 。 图 1.17 叶利钦 控制 区 尔 巴 乔 夫 
对 戈 尔 巴 乔 夫 的 控制 。 


9. 联合 国 遭 窃听 事件 


2004 年 2 月 26 日 ,英国 前 国际 开发 事务 大 臣 克 莱 尔 。 肖 特 对 媒体 披露 称 , 在 伊拉克 战 
争 爆 发 前 ,英国 负责 海外 情报 事务 的 军情 六 处 曾经 在 政府 的 授权 下 对 联合 国 秘书 长 安南 的 
办 公 室 进行 窃听 ,她 本 人 就 翻阅 过 安南 私人 讲话 的 监听 记录 文件 副本 。 

第 二 天 ,联合 国 前 首席 武器 核查 官 理 查 德 ， 巴 特勤 也 站 了 出 来 ,从 侧面 证 实 了 肖 特 的 指 
控 。 巴 特 勒 曾经 在 1997 一 1999 年 担任 联合 国 负责 监督 伊拉克 销毁 大 规模 杀伤 性 武器 的 特 
别 委员 会 主席 。 巴 特 勒 对 美 联 社 记者 说 : 对 他 进行 间谍 活动 的 其 实 不 止 英 国 一 家 。 他 相信 
在 联合 国安 理会 的 5 个 常任 理事 国 中 ,除了 中 国 以 外 ,另外 4 个 国家 都 对 他 进行 了 窃听 
活动 。 

曾经 在 1992 一 1996 年 担任 联合 国 秘书 长 的 加 利 也 向 外 界 表示 ,他 确信 在 任职 期 间 一 直 
是 间谍 活动 的 目标 之 一 。 加 利 在 接受 英国 广播 公司 的 采访 时 说 :“ 从 我 上 任 的 第 一 天 起 ,就 
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有 人 提醒 我 ,让 我 小 心 ,因为 我 的 办 公 室 和 住宅 都 被 人 安装 了 窃听 器 .” 加 利 还 透露 , 据 他 所 
知 ， 具 备 技术 手段 ”的 国家 有 不 少 都 对 联合 国 秘书 长 进行 窃听 活动 ,这 已 经 成 了 一 个 " 传 
统 ”。 而 联合 国 对 此 也 几乎 无 能 为 力 , 所 以 只 能 自己 采取 防范 措施 ,因为 不 光 家 里 、 办公室 
里 ,甚至 汽车 以 及 电话 上 都 有 别人 的 “ 耳 人 条”。 一 位 曾 在 加 利 身边 工作 多 年 的 联合 国 工 作 人 
员 称 ,为 了 防止 遭 到 窃听 ,这 位 前 联合 国 秘书 长 从 上 班 第 一 天 起 便 几 乎 养 成 了 一 个 习惯 : 每 
天 上 班 之 前 先 把 自己 的 衣服 抖 搂 几 下 ,再 让 手下 把 文件 包办 公 室 角落 悉数 “扫描 "一遍 ,再 
认真 地 检查 一 下 电话 机 ,看 看 下 面 是 否 有 窃听 器 。 

2004 年 12 月 ,联合国 驻 欧洲 办 事 处 发 言 人 玛丽 称 , 该 办 事 处 所 在 的 日 内 瓦 万 国 宫 法 兰 

厅 内 发 现 了 一 套 窃 听 装 置 。 人 窃听 装置 是 当年 秋天 工人 们 在 法 兰 西 厅 的 装修 施工 过 程 中 在 

护 墙 板 内 发 现 的 。 

2013 年 8 月 25 日 ,德国 (4 明镜) 周刊 获得 的 美国 国家 安全 局 秘密 文件 显示 ,美国 国家 安 
全 局 不 仅 监听 欧盟 目标 ,而 且 也 对 联合 国 总 部 实施 了 监听 行动 。 


10.《 世 界 新 闻 报 ?窃听 丑闻 


2005 年 5 月 ,《 志 界 新 闻 报 ) 刊 登 了 威廉 王子 膝盖 肌 腿 受伤 的 消息 。 这 条 不 痛 不 痒 的 报 
道 引 起 了 英国 王室 的 怀疑 ,因为 王子 受伤 的 事情 鲜 有 人 知 , 王 室 随 即 向 警方 报案 。2006 年 4 
月 《太阳 报 》 刊 登 了 哈里 王子 流连 脱衣 舞 夜 总 会 的 新 闻 ,随后 《世界 新 闻 报 》 跟 踪 报 道 ,在 刊 
登 的 新 闻 中 竟然 还 原 了 威廉 王子 嘲笑 哈里 的 邮件 。 

英国 《太阳 报 》(The Suz ) 是 富商 基 思 “。 和 鲁 珀 特 。 默 多 克 (CKeith Rupert Murdoch) 拥 有 
的 新 闻 集 团 (News Corporation) 旗 下 的 一 份 小 报 。 《太阳 报 ) 是 全 英国 销量 最 高 的 报纸 ， 
2004 年 后 期 该 报 的 每 日 发 行 量 达 320 万 份 。 星 期 日 版 的 4 太阳 报 》 名 为 《 志 界 新 闻 报 》 
(News of the World )。 该 报纸 以 报道 许多 名 人 以 及 涉及 
名 人 的 丑闻 的 文章 而 出 名 。 

伦敦 警方 于 2006 年 开始 调查 这 家 报纸 窃听 名 人 电话 
事件 。 据 透露 ,《 世 界 新 闻 报 ) 镭 听 行 为 的 受害 者 可 能 多 达 
4000 人 。 其 中 涉及 它 曾 雇 私 家 侦探 窃听 2002 年 失踪 女孩 
米 莉 。 道 勒 手机 语音 留言 。 这 一 系列 的 监听 丑闻 ,引起 从 
首相 到 普通 民众 的 一 致 愤慨 。 

2011 年 7 月 10 日 《世界 新 闻 报 》 被 迫 关 门 停刊 ,当日 
出 版 的 最 后 一 期 向 读者 告别 ( 见 图 1. 18) 。 


11. 美国 的 “棱镜 计划 ” 


棱镜 计划 (PRISM) 是 一 项 由 美国 国家 安全 局 (NSA, 见 图 1. 19) 自 2007 年 小 布什 时 期 

起 开始 实施 的 绝密 电子 监听 计划 ,该 计划 的 正式 名 号 为 US-984XN。 美 国情 报 机 构 一 直 在 

9 家 美国 互联 网 公司 中 进行 数据 挖掘 工作 ,从 音频 视频. 图片. 邮件 .文档 以 及 连接 信息 中 

分 析 个 人 的 联系 方式 与 行动 。 监 控 的 类 型 有 10 类 信息 : 电邮 、 即 时 消息 、 视 频 、 照 片 、 存 储 

数据 、 语 音 聊 天 、 文 件 传输 、 视 频 会 议 、 登 录 时 间 和 社交 网 络 资料 的 细节 ,其 中 包括 两 个 秘密 

监视 项 目 ,一 是 监视 ,监听 民众 电话 的 通话 记录 ,二 是 监视 民众 的 网 络 活动 。2013 年 7 月 1 
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日 晚 ,维基 解密 网 站 披露 ,美国 “棱镜 门 ” 事 件 泄密 者 斯 诺 登 (Edward Snowden, 见 图 1. 20) 
在 向 厄瓜多尔 和 冰岛 申请 庇护 后 ,又 向 19 个 国家 寻求 政治 庇护 。 从 欧洲 到 拉美 ,从 传统 盟 
友 到 合作 伙伴 ,从 国家 元 首 通话 到 日 常会 议 记录 ,几乎 所 有 人 的 通信 活动 都 处 于 棱镜 计划 监 
听 之 中 。 


图 1. 19 美国 国家 安全 局 图 1.20 爱德华 " 斯 诺 登 


1.4.2 声波 窃听 


声波 是 一 种 波动 ,因此 它 具 有 波动 的 一 切 特 性 ,能 产生 反射 .折射 干涉、 衍射 共鸣 等 现 
象 。 根据 声波 特性 ,人 们 制造 了 多 种 多 样 的 窃听 器 。 

早 在 2500 年 前 的 战国 时 代 , 就 出 现 了 一 种 叫做 “ 听 舍 ”的 监听 工具 。 听 舍 是 用 陶 制 成 的 ， 
如 图 1.21(a) 所 示 , 它 大 肚 小 口 。 把 它 埋 在 地 下 ,并 在 舍 口 蒙 上 一 层 薄 薄 的 皮革 ,人 伏 在 上 面 就 
可 以 倾听 到 城 外 方圆 数 十 里 的 动静 。 到 了 唐 代 , 又 出 现 了 一 种 "地 听 器 ”, 如 图 1.21(b) 所 示 ， 
它 是 用 精 瓷 烧 制 而 成 的 ,形状 犹如 一 个 空心 的 葫芦 形 枕头 .人 睡 卧 休 息 时 , 侧 头 贴 耳 枕 在 上 
面 ,就 能 清晰 地 听 到 30 里 外 的 马蹄 声 。 


(a) 听 贫 (b) 地 听 器 
图 1.21 听 丛 和 地 听 器 


北宋 大 科学 家 沈 括 在 他 著名 的 4《 梦 溪 笔 谈 》 一 书 中 介绍 了 一 种 用 牛皮 做 的 “ 箭 圳 听 枕 ”。 
他 还 科学 地 指出 ,这 种 “ 箭 吉 听 枕 ”之 所 以 能 够 听 到 “ 数 里 内 外 的 人 马 声 ”, 是 因为 “ 虚 能 纳 
声 ”, 并 利用 共振 来 放大 传 来 的 微弱 信号 ,而 大 地 又 好 像 是 一 根 “ 专 线 ”, 连 接着 彼此 两 个 地 
点 ,是 一 种 传递 声音 信号 的 媒介 。 在 江南 一 带 , 还 有 一 种 常用 的 “ 竹 管 窃听 器 ”。 它 是 用 一 根 
根 羡 穿 内 节 的 毛竹 连接 在 一 起 的 , 数 设 在 地 下 ` 水 下 或 隐蔽 在 地 上 ` 建 筑 物 内 ,进行 较 短 距 离 
的 窃听 。 
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在 国外 ,人 们 还 采用 过 称 作 “大 耳 杂 ”的 窃听 器 ( 见 图 1. 22) 。 这 种 窃听 器 有 一 个 特别 大 
的 圆 盘 , 圆 盘 朝 前 的 一 面 为 抛物 面 , 当 正 前 方 传 来 的 声波 碰 到 圆 盘 时 ,根据 波 的 反射 原理 ,会 
被 圆 盘 反射 聚集 在 焦点 上 ,来 自 其 他 方向 的 声波 则 不 会 聚焦 。 在 焦点 上 放置 一 个 能 接收 微 
弱 声 音 的 微 音 器 ,从 正面 传 来 的 微弱 声音 激励 微 音 器 工作 ,将 声 能 转换 成 电信 号 ,经 电子 线 
路 放大 ,再 由 窃听 人 员 使 用 耳机 监听 。 这 种 抛物 面 式 窃听 器 能 够 拾取 较 大 面积 的 声 能 ,窃听 
距离 可 达 几 千 米 。 

根据 同样 的 声波 反射 .折射 原理 ,还 可 制 成 外 形 像 扩 音 喇叭 一 样 的 远 距 离 定 向 麦克 风 窃 
听 器 。 为 了 提高 灵敏 度 和 指向 性 ,还 可 根据 双 耳 效应 ,用 两 个 喇叭 拾 音 。 所 谓 双 耳 效应 ,就 
是 来 自 正 前 方 的 声音 同时 到 达 双 耳 , 而 来 自 侧 面 的 声音 ,由 于 传播 路 程 略 有 差异 ,总 是 一 个 
耳 人 条 先 听 到 , 另 一 个 耳 条 后 听 到 ,分 析 两 耳 听 到 声音 的 时 间 差 ,就 可 确定 声音 的 方向 。 

为 了 便于 携带 ,人 们 还 根据 波 的 迭 加 原理 制 成 了 外 形 像 鸟 枪 的 窃听 器 ,窃听 者 只 要 把 
“ 鸟 枪 ” 的 枪 日 对 准 被 窃听 的 方向 ,就 能 取得 较 好 的 窃听 效果 。 这 种 “ 鸟 枪 ” 窃 听 器 在 它 长 长 
的 枪 管 上 开 有 很 多 规则 排列 的 小 孔 , 当 声波 从 正 前 方 传 来 时 ,经 过 小 孔 进 入 枪 管 ,就 会 在 枪 
管 尾部 的 微 音 器 处 互相 加 强 :而 当 无 关 的 声波 从 枪 管 两 侧 传 来 时 ,经 小 孔 进 入 枪 管 后 则 互相 
抵消 ,这 就 使 监听 人 员 听 不 到 与 窃听 对 象 无 关 的 声音 ,只 拾取 被 侦察 方向 的 声音 。 

声波 是 牙 密 波 ,在 稀疏 区 域 实际 压强 小 于 原来 的 项 压强 ,在 稠密 区 域 实际 压强 大 于 原来 
的 静 压 强 , 声 压 的 周期 性 变化 可 以 控制 电流 的 周期 性 变化 ,从 而 把 声 信 号 转换 为 电信 号 , 然 
后 经 输送 线 传 到 电 声 装置 ,再 将 电信 号 转换 为 声 信 号 ,以 供 监听 人 员 接 收 。 这 种 利用 声 振动 
产生 声 压 传递 信号 的 原理 ,不 仅 是 窃听 器 的 工作 原理 ,也 是 电话 机 的 工作 原理 。 随 着 电话 的 
普及 ,电话 机 也 成 为 常用 的 窃听 工具 。 最 初 使 用 电话 进行 窃听 的 方法 如 图 1. 23 所 示 ,是 将 
微小 窃听 器 放 到 电话 的 麦克 风 中 ,进行 声波 窃听 。 


图 1.22 “二 战 ?期 间 的 “大 耳 洒 ” 图 1.23 放 进 电话 机 中 的 窃听 器 


为 了 便于 隐藏 ,窃听 器 日 趋 小 型 化 、 微 型 化 。 有 的 窃听 器 做 成 黄豆 粒 或 针尖 那么 小 , 埋 
设 在 墙壁 、 电 话机 、 电 灯 、 沙 发 .椅子 里 ,用 一 对 导线 将 信号 引出 来 。 窃 听 者 在 远 远 的 地 方 即 
可 听 到 室内 的 动静 ,其 拾 音 范 围 可 达 10m 左右 ,其 至 连 写字 的 声音 都 能 听 得 一 清二 楚 。 为 
了 减少 专 设 线 路 和 解决 窃听 器 的 用 电 问 题 ,往往 就 利用 室内 电源 插座 上 的 交流 电 , 窃 听 者 只 
要 在 电源 插座 上 附设 小 小 的 配件 ,窃听 麦克 风 拾 取 的 谈话 声音 ,经 过 放大 调频 变 成 载波 信 
号 , 送 到 电源 线 上 传输 出 去 。 窍 听 者 在 电源 线路 的 任何 位 置 接 上 一 个 载波 接收 器 , 便 能 听 到 
室内 的 谈话 。 

为 了 隐蔽 ,许多 窃听 器 被 隐藏 在 日 常用 品 中 。 例 如 ,国外 曾 有 一 种 伪装 成 航空 卡片 架 的 
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窍 听 器 ,上 面 用 法 文 写 着 “航空 运输 联盟 ”等 字样 ,但 实际 上 把 微型 麦克 风 窃 听 发 射 机 、 双 控 
接收 机 和 电池 等 装 在 不 到 lcm 厚 的 木板 底座 里 .上面 的 金属 框架 就 是 发 射 天 线 和 接收 天 
线 。 有 的 微波 窃听 器 可 以 制 得 很 小 ,隐藏 在 提包 、 首 饰 、 钢 笔 、 眼 镜 、 人 鲜花、 领带、 纽扣 、 和 餐厅 服 
务 员 临 时 送 上 的 调料 、 烟 灰 包 以 及 电子 打字 机 、 计 算 机 、 译 码 电 信 机 、 电 传 机 、 保 密 机 等 电子 
设备 中 。1983 年 1 月 ,法 国 驻 莫斯科 使 馆 在 修理 电 传 打字 机 的 过 程 中 ,意外 发 现 打字 机 的 
电容 器 里 有 个 复杂 的 电子 窃听 器 , 它 可 使 电文 在 未 被 译 成 密码 之 前 就 被 截 收 。 西 德 驻 苏 使 
馆 还 在 一 架 译 码 电 讯 机 上 查 出 一 种 特别 精巧 的 电子 仪器 ,可 把 使 馆 发 向 国内 的 密 电 码 收录 
下 来 。 

还 有 一 种 方法 是 在 建筑 物 中 预先 埋设 窃听 器 。 例 如 , 苏 美 情报 机 构 常 常 利用 为 外 国 修 
建 或 改建 大 使 馆 的 机 会 ,把 这 种 窃听 装置 埋设 在 使 馆 内 。20 世纪 80 年 代 美 国 曾 派 特工 渗 
入 负责 兴建 前 苏联 驻 美 使 馆 的 建筑 商 , 趁 机 在 大 使 馆 地 底下 挖掘 了 一 条 秘密 隧道 ,在 隧道 中 
安装 各 种 窃听 工具 ,监视 大 使 馆 的 一 举 一 动 。 而 当时 的 苏联 也 采取 了 同样 手段 。1985 年 美 
国 在 对 其 驻 苏 大 使 馆 的 新 馆 舍 进行 安全 检查 时 ,在 混凝土 构件 中 查 出 了 一 大 堆 麦 克 风 。 
1987 年 里 根 说 :“ 美 国 除 了 全 部 拆除 驻 苏 新 使 馆 大 楼 外 , 别 无 选择 。 整 盎 大 楼 窃听 融 

为 了 解决 入 室 布 放 困难 的 问题 ,人 们 也 绞 尽 了 脑汁 。 例 如 ,可 将 拾 音 器 、 信 号 放大 电子 
线路 .电池 、 天 线 等 装 在 特制 的 炮弹 中 ,在 作战 之 前 伴随 火力 侦察 ,发 射 到 敌 方 的 哨所 、 驻 地 、 
指挥 部 附近 ,或 交通 要 道 等 处 , 它 可 以 起 着 侦察 兵 起 不 到 的 作用 。 

克格勃 在 20 世纪 50 年 代 中 期 广泛 应 用 的 一 种 微型 无 线 电 窃 听 器 “ 虫 威 ”" 是 这 个 时 代 窍 
听 避 的 代表 作 , 其 体积 只 有 火柴 盒 大 小 ,可 以 用 气枪 弹射 到 窃听 目标 外 墙 上 ,用 超短波 将 所 
收 到 的 声音 发 射 到 直径 为 5 英里 的 范围 之 内 .用 一 个 灵敏 度 很 高 的 接收 机 就 能 收 到 。 

美国 中 央 情 报 局 在 20 世纪 60 年 代 后 期 采用 集成 电路 生产 了 一 种 直径 0. 25cm 的 无 线 
电 传送 器 ,并 把 它 安 装 在 苑 蝇 背 上 。 执 行 任 务 前 ,他 们 会 让 苍蝇 先 吸 入 一 口 神经 毒气 ,使 它 
到 达 目 的 地 完成 窃听 器 的 布 放 后 很 快 死去 。 

20 世纪 70 年 代 初 ,美国 中 央 情 报 局 利用 训练 过 的 蚀 子 布 放 窃听 器 。 他 们 把 微型 窃听 
器 系 在 蚀 子 身上 ,然后 将 红色 激光 束 射 向 要 进行 窃听 的 窗户 上 , 饮 子 就 冬 冬 按照 激光 导向 ， 
飞 落 在 这 个 窗户 的 窗台 上 。 它 吸 一 下 按钮 ,窃听 器 便 脱 离 饮 身 , 开 始 自动 工作 。 

在 冷战 时 期 ,美国 曾 进 行 过 一 项 代号 为 "声响 小 猫 ” 的 试验 。 他 们 在 猫 体内 放 和 人 窃听 器 、 
电池 和 线路 . 猫 的 尾巴 被 用 作 天 线 。 按 照 中 情 局 原先 的 设想 ,他 们 最 终 要 把 这 只 猫 变 成 可 遥 
控 指 探 、 听 话 的 “高 级 间谍 ”。 只 是 由 于 试验 失败 ,这 一 计划 才 被 迫 告吹 。 

随 着 科学 技术 新 成 就 的 不 断 出 现 .窃听 技术 越 来 越 升 级 ,其 方法 和 手段 越 来 越 多 ,如 激 
光 窃 听 、 辐 射 窃听 等 新 的 窃听 技术 相继 问世 。 例 如 ,由 于 激光 可 以 探测 到 物体 表面 极 微 弱 的 
振动 ,20 世纪 60 年 代 激 光 技 术 问 世 不 久 也 被 窃听 技术 专家 利用 ,制作 出 激光 窃听 器 。 这 
样 ,室内 谈话 的 声音 所 引起 的 窗户 上 玻璃 的 轻微 振动 ,可 以 用 激光 来 对 准 窗 玻璃 发 射 , 再 用 
一 个 激光 接收 器 接收 由 窗户 玻璃 反射 回来 的 激光 ,还 原 成 声音 。 

可 以 说 ,在 今天 ,人 们 都 不 知道 什么 地 方 没有 窃听 器 了 。 一 个 耐人寻味 的 故事 是 ,1955 
年 已 经 有 了 可 以 放 进 手表 中 的 窃听 器 ,当时 美国 在 柏林 的 特工 会 见 一 东 德 同行 时 使 用 的 就 
是 这 种 监听 器 。 尽 管事 先 有 一 个 禁止 记录 谈话 的 协定 ,但 谁 也 没有 遵守 。 没 想到 在 谈话 中 
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美方 的 录音 机 出 了 毛病 ,发 出 响声 。 而 德 方 人 员 还 以 为 是 自己 偷 带 的 录音 机 出 了 故障 ,其 至 
篮 傣 地 问 :“ 先 生 ,是 您 的 录音 机 出 了 毛病 呢 , 还 是 我 的 ?” 


1.4.3 电磁 波 窃 听 
1. 电磁 波 窃听 的 种 类 


电磁 波 窃听 是 截获 载 有 信息 的 电磁 波 的 窃听 手段 。 它 有 两 种 形式 : 信号 拦截 监听 和 电 
人 磁 漠 漏 监听 。 

1) 信号 拦截 监听 

信号 拦截 监听 也 称 搭 线 窃听 ,其 方法 是 在 被 监听 的 信道 加 装 信号 拦截 装置 。 例 如 ,将 窍 
听 器 的 两 根 接线 接 到 电话 线路 上 ,直接 截获 电话 线路 里 的 电流 信号 .“ 水 门 事件 ?就 属于 典 
型 的 搭 线 窃听 。 为 了 隐藏 ,窃听 者 常 把 窃听 位 置 选择 在 电话 线路 的 接线 盒 内 、 分 线 箱 上 , 尽 
量 不 人 侵 室内 。 现 在 已 有 自动 化 程度 很 高 的 旁听 设备 ,一 旦 有 人 拿 起 手机 准备 打 电 话 ,电话 
集中 台 便 自动 开始 工作 ,数字 显示 器 就 显示 出 该 电话 机 的 号 码 , 自 动 报时 器 报告 通话 开始 和 
结束 的 时 间 , 录 音 机 录 下 电话 内 容 。 此 外 :还 可 根据 电磁 感应 现象 ,将 感应 线圈 设置 在 电话 
线 外 、 电 话机 下 ,以 此 来 窃听 电话 内 容 。 

2) 电磁 泄漏 监听 

电磁 泄漏 是 指 电子 设备 中 的 杂 散 能 量 向 外 扩展 ,并 在 扩展 过 程 中 夹带 了 设备 所 处 理 的 
数据 信和 号。 在 一 定 的 条 件 下 ,在 一 定 的 距离 内 ,重新 复原 这 些 信息 已 经 不 是 难事 。 

1985 年 ,在 法 国 召开 的 一 次 国际 计算 机 安全 会 议 上 ,年 轻 的 荷兰 人 范 . 艾 克 当 着 各 国 
代表 的 面 , 用 价值 仅仅 几 百 美元 的 器 件 对 普通 电视 机 进行 改造 ,在 楼 下 的 汽车 内 ,接收 并 显 
示 出 了 8 层 楼 上 计算 机 屏幕 上 显示 的 图 像 。 国 外 也 有 实验 表明 ,银行 计算 机 上 显示 的 密码 ， 
竞 在 马路 上 就 轻易 地 被 截获 了 。 

实际 上 ,计算 机 的 数字 信号 就 是 一 些 高 频 脉冲 信号 。 这 些 高 频 电 磁 信 号 会 产生 与 一 台 
小 型 电台 差不多 的 电磁 波 辐射 。 

最 早 用 来 捕获 电磁 波 汇 漏 信号 的 设备 是 矿石 无 线 电 
收报 窃听 器 。 矿 石 收 音 机 ( 见 图 1. 24) 是 最 简单 的 无 线 电 
接收 机 ,由 长 导线 天 线 加 上 选择 信号 频率 的 调谐 器 和 检 波 
器 组 成 ,因为 检 波 器 可 以 使 用 唱 体 矿石 ,所 以 称 为 矿石 收 
音 机 。 据 说 矿石 收音 机 至 今 可 能 依然 被 间谍 使 用 ,因为 它 
没有 振荡 器 ,不 需要 电池 和 电能 ,因此 反 间 谍 组 织 不 能 侦 
测 到 被 监听 的 频率 。 

1914 年 夏天 ,第 一 次 世界 大 战 时 期 ,在 法 国 北 部 一 座 幽 静 的 花园 里 停 着 一 辆 豪 不 起 眼 
的 马 拉 大 篷车 。 这 辆 车 里 安装 着 当时 英国 军事 情报 局 最 先进 的 矿石 无 线 电 收报 窃听 器 ,用 
它 来 窃听 邻近 德国 军队 的 无 线 电 联系 信号 。 

随 着 天 线 技术 的 进步 .人 们 已 经 可 以 捕 提 到 距离 更 远 、 强 度 更 弱 的 电磁 波 信 号 了 。 据 美 
军 一 份 泄密 文件 透露 , 驻 日 美军 楚 边 基地 是 美国 家 安全 局 遍布 全 球 的 情报 网 的 重要 一 环 , 楚 


图 1.24 矿石 收音 机 
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边 通信 所 始 建 于 1957 年 ,于 1962 年 完工 。 在 冷战 时 期 ,NSA 能 够 监听 到 苏联 的 所 有 密码 
通信 ,冷战 结束 后 ,由 于 所 处 地 理 位 置 的 独特 性 : 楚 边 通信 所 非但 没有 被 拆除 ,反而 在 对 朝鲜 
半岛 以 及 中 国 和 东南 亚 地 区 的 侦察 中 发 挥 着 不 可 蔡 代 的 作用 。 图 1. 25 为 位 于 冲绳 美军 基 
地 的 楚 边 通信 所 内 ,用 来 搜集 周边 国家 情报 的 天 线 “ 象 栏 "。 图 1. 26 为 日 本 在 三 泽 基 地 密布 
的 球形 天 线 , 用 来 监听 中 国 、 朝 鲜 、 韩 国 、 俄 国 等 国 的 电子 信和 号。 


图 1.25 美军 部 署 在 日 本 的 巨 形 雷 达 天 线 阵 * 象 栏 ” 图 1.26 日 本 在 三 泽 基地 密布 的 球形 天 线 


随 着 大 数据 处 理 技术 日 至 成 熟 ,广泛 进行 电磁 泄漏 信号 的 监听 往往 可 以 获得 意 想不到 
的 有 价值 信息 。 


2. 电磁 波 窃听 的 防范 


针对 电磁 泄漏 可 以 采取 如 下 一 些 对抗 措 施 。 

(1) 屏蔽 : 用 电磁 屏蔽 技术 , 既 可 防止 电磁 波 外 泄 , 又 可 防止 外 来 电磁 波 的 干扰 。 

(2) 隔离 : 将 需要 重点 防护 的 设备 从 系统 中 分 离 出 来 ,加 以 特别 保护 。 

(3) 使 用 低 辐射 计算 机 设备 ,在 元 器 件 、 集 成 电路 、 连 线 器 和 CRT 等 方面 采取 防 辐射 
措施 。 

(4) 使 用 干扰 器 : 产生 电磁 噪声 , 增 大 辐射 信息 被 截获 后 破解 还 原 的 难度 。 

(5) 滤波 : 在 电源 或 信号 线 上 加 装 合 适 的 滤波 器 , 阻 断 传导 泄露 的 通道 。 

(6) 接地 : 接地 可 以 使 杂 散 能 量 向 大 地 泄露 。 

(7) 数据 加 密 和 数据 隐藏 。 前 者 隐蔽 了 数据 的 可 读 性 ,后 者 隐藏 了 数据 的 可 见 性 。 


1.4.4 光缆 窃听 


一 直 以 来 ,人 们 都 认为 在 电缆 中 传输 的 信息 很 容易 通过 搭 接 方 式 窃取 .并且 由 于 当 电 缆 
有 电流 通过 时 ,在 导体 周围 会 产生 磁场 ,设备 
足够 灵敏 就 能 感应 到 这 个 磁场 的 变化 ,而 无 须 
物理 分 割 导 体 的 金属 载体 ,而 光缆 传输 则 非常 
安全 。 

然而 ,2005 年 3 月 ,美国 “ 海 狼 ?级 核潜艇 
“吉米 卡特 ”号 ( 见 图 1. 27) 的 服役 ,彻底 改变 
了 人 们 的 认识 ,这 是 因为 “卡特 ”号 潜艇 是 一 艘 - 
专攻 海底 光缆 窃听 的 潜艇 。 该 潜艇 具备 海底 ”图 1.27 美国 “ 海 狼 ” 级 核潜艇 “吉米 卡特 ”号 
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光缆 窃听 功能 ,配备 有 专门 用 于 安装 窃听 装置 的 深 潜 器 ,其 最 大 下 潜 深 度 达 到 610m, 通 过 坐 
沉 海 底 ,释放 深 潜 器 实施 窃听 ,或 者 将 窃听 装置 安装 到 光 绕 上 长 期 监听 。 

实际 上 ,美国 早 在 20 世纪 90 年 代 中 期 就 进行 过 光缆 窃听 试验 ,目前 的 光缆 窃听 技术 已 
经 十 分 纯熟 。 据 美方 资料 透露 ,对 光缆 进行 窃听 主要 有 两 种 方式 : 光纤 窃听 和 中 继 站 窃听 。 

对 光缆 进行 窃听 的 技术 也 不 止 一 种 。 一 种 技术 是 用 含有 一 根 一 根 光纤 的 极 细 “ 针 管 " 插 
入 光缆 内 护 套 ,直抵 光纤 。 于 是 ,针头 中 的 光纤 与 光缆 中 的 光纤 连接 ,光束 会 被 部 分 引入 窍 
听 装 置 。 而 光缆 中 的 光 强 衰减 并 不 影响 光缆 正常 工作 。 另 一 种 方法 是 将 光缆 剥 开 至 裸 纤 ， 
将 光缆 弯曲 到 临界 角度 ,使 得 一 部 分 光线 从 光纤 中 折射 出 来 。 其 基本 方法 如 图 1. 28 所 示 ， 
从 光纤 中 折射 出 来 的 光线 被 设备 中 的 光学 检测 设备 拾取 ,然后 发 送 给 光电 转换 设备 将 光 信 
号 转换 为 电信 号 ,再 将 这 些 信 号 送 计 算 机 分 析 。 


微型 弯曲 装置 
绩 销 G@ 微型 弯曲 装置 


回 光 波 检测 器 


光纤 包 层 一 
弯曲 的 光缆 - 泄漏 光波 
二 PE "| 


| | 日 @ 计 算 机 


图 光电 转换 器 


图 1.28 弯曲 光缆 进行 窗 听 


光纤 对 比 法 也 是 美国 较 常 用 的 窃听 方式 .让 与 激光 不 同 波段 的 光线 沿 光 纤 的 径 向 射 过 
光纤 ,从 而 得 到 相应 脉冲 信号 的 光 信号 .进而 转换 成 电信 号 ,达到 窃听 目的 。 

而 中 继 站 窃听 更 为 容易 , 即 通 过 打开 光缆 中 继 器 加 装 窃听 装置 实现 窃听 。 

不 过 ,由 于 大 多 数 光 纤 窃 听 技 术 都 会 导致 光纤 内 部 光束 能 量 的 微小 减弱 ,因此 检测 光纤 
能 量 衰减 就 是 一 种 窃听 发 现 技 术 , 其 中 就 包括 宽 波 带 能 量 监测 , 当 监 测 到 的 通信 服务 下 降 达 
到 超过 一 定 闪 值 时 ,就 认为 遭 到 攻击 。 

对 付 光缆 窃听 ,除了 检测 能 量 衰减 外 ,采用 量子 通信 和 是 被 广泛 认可 的 技术 。 量 子 通 信和 是 
指 利用 “量子 纠缠 ”效应 进行 信息 传递 的 一 种 新 型 通信 和 方式。 所谓 “量子 纠缠 ”, 是 指 在 微观 
世界 里 ,不 论 两 个 粒子 间距 离 多 远 ,一 个 粒子 的 变化 都 会 影响 另 一 个 粒子 的 现象 。 这 个 现象 
被 爱 因 斯 坦 称 为 “诡异 的 互动 性 ”。 作 个 形象 的 比喻 ,纠缠 状态 下 的 量子 就 像 一 对 “ 心 有 灵 
犀 ” 的 骨 子 。 甲 乙 两 人 身 处 两 地 .各 拿 其 中 一 个 骨 子 , 甲 随 意 撕 一 下 山子 是 5 点 ,与 此 同时 ， 
乙 手 中 的 角子 就 自动 翻转 到 5 点 。 

量子 通信 涉及 量子 密码 通信 、 量 子 远程 传 态 和 量子 密集 编码 等 。 基 于 量子 力学 的 基本 
原理 ,量子 通信 具有 高 效 和 绝对 安全 等 特点 ,因此 成 为 国际 上 量子 物理 和 信息 科学 的 研究 热 
点 。 这 门 学 科 已 逐步 从 理论 走向 实验 ,向 实用 化 发 展 。 可 喜 的 是 ,我 国 对 于 量子 通信 技术 的 
研究 已 经 取得 了 重大 进展 。 据 报道 ,我 国正 在 研制 可 以 自行 毁灭 的 量子 密 钥 ,严防 他 国 间谍 
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试图 侦察 、 窃 听 和 窃取 量子 加 密 的 数据 。 目 前 ,我 国 的 广 域 量子 通信 网 络 计 划 已 经 开始 实 
施 ,未 来 2 一 5 年 ,量子 通信 技术 将 得 到 广泛 拓展 应 用 。 


1.4.5 手机 监听 
1. 手机 监听 概述 


随 着 手机 成 为 人 们 生活 中 不 可 或 缺 的 必需 品 ,窃听 开始 与 手机 紧密 相连 ,手机 监听 的 事 
件 也 层出不穷 。1996 年 4 月 ,俄罗斯 车 臣 叛 乱 分 
子 的 头目 杜 达 耶 夫 因 和 手机 泄密 ,被 俄 军 发 射 导弹 
击毙 。2002 年 3 月 本 .拉登 的 得 力 助 手 “ 基 地 ” 
组 织 的 二 号 人 物 阿布 ， 祖 巴 耶 达 赫 因 使 用 手机 暴 
露 藏身 地 而 落网 。2013 年 10 月 23 日 ,德国 媒体 
报道 了 美国 情报 部 门 监 听 德 国 总 理 默 克 尔 的 消 
息 ,如 晴空 霹雳 ,一 时 间 舆 论 大 哗 , 默 克 尔 无 限 委 
届 ,恼怒 万 分 ( 见 图 1. 29) 。 

一 般 说 来 ,手机 监听 的 技术 有 如 下 几 种 。 

(1) 截获 手机 的 电磁 波 。 一 般 说 来 ,手机 的 通信 过 程 就 是 使 用 手机 把 语音 信号 传输 到 
移动 通信 网 络 中 ,再 由 移动 通信 网 络 将 其 变 成 电磁 频谱 ,通过 通信 卫星 辐射 漫游 传送 到 受 话 
人 的 电信 网 络 中 ; 受 话 人 的 通信 设备 接收 到 无 线 电磁 波 , 再 转换 成 语音 信号 接 通 通信 网 络 。 
手机 使 用 的 无 线 信道 的 开放 性 ,让 第 三 者 只 要 有 相应 的 接收 设备 ,就 能 够 截获 任何 时 间 、 任 
何 地 点 .任何 人 的 通话 信息 。 拦 截 距离 可 达 上 万 公里 ,有 效 监听 距离 与 地 球 同 步 通信 卫星 信 
号 覆盖 范围 几乎 相等 。 

(2) 安装 手机 “卧底 ”软件 一 一 木马 程序 。 强 大 的 卧底 软件 可 以 完成 如 下 一 些 监控 。 

@ 隐秘 地 进行 环境 音效 拦截 监控 。 如 果 目 标 手 机 是 空闲 状态 ,通过 拨打 使 这 个 手机 被 
秘密 接 通 ,卧底 软件 会 自动 激活 目标 手机 的 免 提 麦克 风 而 不 会 有 任何 显示 ,目标 手机 可 以 清 
楚 地 传 回 周围 环境 的 声音 。 如 果 目 标 手 机 正在 使 用 中 或 者 目标 手机 的 使 用 者 按 了 任意 键 ， 
本 次 呼叫 将 会 被 秘密 断 开 ,不 留 一 点 痕迹 。 

@ 对 目标 手机 进行 定位 追踪 。 对 于 有 GPS 装置 的 手机 ,卧底 软件 可 以 清楚 地 确定 目 
标 手 机 的 经 纬度 坐标 以 及 定位 时 完整 的 地 图 显示 。 有 些 手 机 虽然 没有 GPS 装置 ,但 是 所 有 
手机 都 有 电话 身份 识别 功能 ,手机 卧底 软件 还 可 以 提供 基于 移动 基站 查询 定位 的 功能 。 

@) 短信 监控 。 手 机 卧底 软件 可 以 根据 设置 ,捕获 目标 手机 发 送 、 接 收 的 短信 ,使 窃听 者 
可 以 在 远 端 查看 到 短信 的 内 容 、 对 方 号 码 发送 /接收 时 间 等 信息 ,如 果 对 方 号 码 在 目标 手机 
的 通讯 录 ( 联 系 人 ) 存 有 姓名 ,对 方 号 码 会 与 姓名 关联 ,那么 还 会 显示 对 方 的 这 个 名 字 。 

@ 电子 邮件 监控 。 手 机 卧底 软件 会 根据 设置 ,捕获 目标 手机 所 发 送 、 接 收 的 电子 邮件 
信息 并 上 传 到 手机 卧底 服务 器 。 

@ 远程 遥控 。 手 机 卧底 软件 可 以 使 用 指令 对 目标 手机 进行 下 控 设置 ,如 更 改 监控 号 
码 、 更 改 上 传 频率 、 发 送 诊 断 请 求 等 。 

@@ 手机 卧底 软件 让 目标 手机 永 不 脱离 窃听 者 的 视线 。 当 目标 手机 更 换 SIM 卡 ( 手 机 
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图 1. 29 得 知 手 机 被 美国 情报 
部 门 监听 的 默 克 尔 


卡 ) 后 ,手机 卧底 软件 会 使 用 目标 手机 新 更 换 的 SIM 卡 以 秘密 短信 的 形式 把 监控 号 码 发 送 
给 监控 者 ,告知 SIM 卡 已 变更 的 信息 。 监 听 者 可 以 根据 此 信息 ,对 目标 手机 新 的 号 码 进行 
监控 。 

有 一 些 监 听 是 根据 手机 网 络 的 制式 特点 进行 的 。 下 面 讨 论 针 对 GSM 和 CDMA 这 两 
种 常用 手机 制式 的 监听 原理 。 


2. GSM 手机 监听 


GSM(Global System for Mobile Communications ,全 球 移 动 通 信 系 统 ) 是 世界 上 主要 的 
蜂窝 系统 之 一 。GSM 是 采用 FDMA( 频 分 ) 与 TDMA( 时 分 ) 制 式 相 结合 的 一 种 通信 技术 ， 
其 网 络 中 所 有 用 户 分 时 地 使 用 不 同 频率 进行 通信 。 中 国 GSM 手机 采用 900MHz 频段 和 
1800MHz 频段 工作 。 表 1. 4 为 GSM 工作 频段 的 具体 分 配 。 

对 于 GSM900, 上 下 行 频段 的 各 25MHz 的 频率 范围 被 划分 为 124 个 不 同 的 信道 ,每 个 
信道 带宽 为 200kbps ,每 个 信道 采用 TDMA 技术 分 为 8 个 时 际 , 形 成 8 个 物理 信道 ,理论 上 
一 个 射频 允许 同时 进行 8 组 通话 。 所 以 GSM900 频段 在 同一 区 域内 可 同时 供 近 1000 个 用 
户 使 用 。 


表 1.4 中国 GSM 工作 频段 分 配 


上 行 频段 /MHz 下 行 频段 /MHz 


GSM900 890 一 915 935 一 960 
GSM1800 1710 一 1785 1805 一 1880 


GSM900 的 帧 时 长 为 4. 615ms, 每 个 物理 信道 的 时 隙 长 度 为 0.577ms, 即 把 时 间 分 割 成 
周期 性 的 帧 ,每 一 帧 再 分 割 成 许多 个 时 际 。 之 后 根据 特定 的 时 际 分 配 原则 ,使 移动 手机 用 户 
在 每 帧 中 按 指定 的 时 际 向 基站 发 送信 号 。 基 站 分 别 在 各 自 指定 的 时 际 中 ,接收 到 不 同 的 移 
动手 机 用 户 的 信号 ,同时 基站 也 按 规 定 的 时 际 给 不 同 的 移动 手机 用 户 发 射 信号 。 各 移动 用 
户 在 指定 的 时 际 中 接收 信号 。 这 样 就 难以 保证 在 同一 信道 上 的 用 户 可 以 相互 不 受 干 扰 。 

GSM 按 欧洲 和 亚洲 的 应 用 标准 采取 5 级 保护 : 

。 用 户 接 入 网 络 时 的 鉴 权 ; 

。 移动 设备 识别 ; 

。 无 线路 径 信 号 加 密 ; 

。 临时 识别 码 保 护 ; 

。 以 PINCPersonal Identification Number, 个 人 身份 识别 码 ) 保 护 SIM 卡 。 

如 果 电 信 运 营 商 真 地 严格 执行 了 这 些 标 准 , 就 会 大 大 增加 监听 难度 。 但 现实 中 ,有 些 运 
营 商 往往 出 于 利益 目的 ,使 这 些 标准 的 实施 有 可 能 不 完全 到 位 ,形成 一 些 漏洞 。 例 如 , 当 一 
个 人 使 用 GSM 进行 通信 的 时 候 , 其 手机 和 GSM 网 络 将 对 本 次 会 话 用 一 个 临时 ID 和 会 话 
密 钥 进行 加 密 。 但 是 ,由 于 GSM 的 加 密 算 法 存在 缺陷 并 重复 地 使 用 相同 的 会 话 密 钥 ,这 
样 ,如 果 数 据 被 记录 ,黑客 会 很 快 而 且 很 容易 解密 会 话 密 钥 和 临时 ID ,然后 黑客 可 以 使 用 临 
时 ID 和 会 话 密 钥 去 伪造 该 号 码 的 通信 。 
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从 信 令 (signal, 电 信和 网 中 的 控制 信和 号) 结构 上 看 ,GSM 系统 包括 如 下 一 些 接口 : 

。 MAP(Mobile Application Part ,移动 应 用 部 分 ) 接 口 ; 

。 A 接口 (GSM 网 络 子 系统 NSS 与 基站 子 系统 BSS 之 间 的 标准 接口 ); 

。 ABIS 接口 (基站 控制 器 BSC 与 基站 收发 信 台 BTS 之 间 的 通信 接口 ); 

。 UM 接口 (GSM 的 空中 接口 一 一 基站 与 移动 台 间 的 接口 )。 

这 些 接口 都 有 大 量 的 性 能 参数 和 配置 参数 ,一 些 具体 参数 在 设备 完成 前 就 已 经 设 定好 
了 ,这 里 面 本 身 就 存在 许多 漏洞 。 另 外 ,一 般 人 不 知道 的 是 一 些 国 外 生产 的 手机 也 都 是 留 有 
监听 接口 的 。 

GSM 还 有 一 个 特点 是 其 发 射 功率 较 大 ,这 也 为 远程 监听 提供 了 一 些 条 件 。 


3. CDMA 手机 监听 


CDMA (Code Division Multiple Access, 码 分 多 址 ) 是 在 扩 频 通信 技术 上 发 展 起 来 的 一 
种 魏 新 而 成 熟 的 无 线 通 信 技 术 。 如 图 1. 30 所 示 , 它 将 需 传送 的 具有 一 定 信号 带宽 的 数据 用 
一 个 带宽 远大 于 信号 带宽 的 高 速 伪 随机 码 进行 调制 ,使 原 数 据 信号 的 带宽 被 扩展 ,再 经 载波 
调制 并 发 送出 去 。 接 收 端 使 用 完全 相同 的 伪 随 机 码 对 接收 的 带宽 信号 作 相 关 处 理 , 把 宽带 
信和 号 换 成 原 数 据 的 窗 带 信号 , 即 解 扩 ,以 实现 信息 通信 。 
1 
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图 1.30 CDMA 扩 频 


CDMA 手机 所 使 用 的 WCDMA 、TDCDMA CDMAX 等 技术 , 均 是 理论 上 可 以 防止 低 
水 平 窃听 的 : 

(1) CDMA 采用 了 扩 频 技术 ,可 以 使 其 信号 强度 比 GSM 小 得 多 。 

(2) CDMA 的 呼叫 都 使 用 相同 的 频率 ,大量 的 CDMA 信号 共用 一 个 频谱 ,大 大 增加 了 
监听 分 析 的 难度 。 

(3) CDMA 手机 各 自 的 信号 带 有 不 同 的 随机 码 , 原 数据 信号 的 带宽 被 扩展 后 经 载波 调 
制 发 射出 去 。 在 接收 端 则 使 用 完全 相同 的 高 速 伪 随 机 码 , 在 最 后 环节 才 将 接收 的 宽带 信号 
还 原 成 窄带 信号 ( 解 扩 ) 来 实现 通信 的 。 随 机 码 的 使 用 也 大 大 增加 了 监听 分 析 的 难度 。 

但 是 ,所 有 这 些 并 不 能 保证 其 不 可 窃听 ,只 不 过 窃听 难度 要 比 GSM 难得 多 。 


1.4.6 共享 网 络 中 的 窃听 


现在 实际 运行 的 计算 机 网 络 基本 上 是 一 种 如 图 1. 31 所 示 的 “TCP/IP 十 以 太 网 ”结构 。 

在 这 种 网 络 中 , 当 有 两 台 主机 通信 的 时 候 , 源 主机 ( 记 为 A) 发 往 目 的 主机 ( 记 为 B) 的 数据 

包 , 要 先 在 运输 层 (TCP/UDP) 标 记 上 端口 (进程 ) 号 ,在 网 际 层 加 上 主机 的 IP 地 址 ,成 为 网 

际 层 数据 包 。 但 是 ,这 种 数据 包 不 能 在 IP 层 直 接 传送 ,必须 再 交 给 网 络 接口 ,在 物理 网 中 传 
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送 。 然 而 ,物理 网 不 会 识别 IP 地 址 ,还 必须 添加 以 太 帧 头 信 应 用 
息 , 分 别 为 只 有 物理 网 才能 识别 的 源 主 机 和 目的 主机 的 物理 地 IP 地 址 | TCP/P 
址 ,它们 是 与 IP 地 址 相对 应 的 48 位 的 地 址 一 一 MAC 地 址 。 MAC 地 址 | 物理 网 
对 于 作为 网 关 的 主机 ,由 于 它 连 接 了 多 个 网 络 , 该 MAC 地 址 对 图 1.31 现行 网 络 基本 结构 
应 着 很 多 个 IP 地 址 , 即 该 MAC 地 址 在 每 个 网 络 中 都 有 一 个 对 

应 的 IP 地 址 ,其 他 主机 则 是 一 个 物理 地 址 对 应 一 个 IP 地 址 。 

由 于 现在 的 物理 网 多 为 以 太 网 ,所 以 每 台 主 机 的 MAC 地 址 实际 上 是 其 网 卡 的 编号 ,这 
个 网 卡号 是 全 世界 唯一 的 。 

网 卡 具 有 如 下 的 几 种 工作 模式 : 

(1) 广播 模式 (broad cast model) 。 它 的 MAC 地 址 是 OXffffff 的 帧 为 广播 帧 ,工作 在 广 
播 模式 的 网 卡 接 收 广播 帧 。 

(2) 多 播 传送 (multicast model) 。 多 播 传 送 地 址 作为 目的 MAC 地 址 的 帧 可 以 被 组 内 
的 其 他 主机 同时 接收 ,而 组 外 主机 却 接收 不 到 。 但 是 ,如 果 将 网 卡 设置 为 多 播 传送 模式 , 它 
可 以 接收 所 有 的 多 播 传送 帧 ,而 不 论 它 是 不 是 组 内 成 员 。 

(3) 直接 模式 (direct model) 。 工 作 在 直接 模式 下 的 网 卡 只 接收 目的 地 址 是 自己 MAC 
地 址 的 帧 。 

(4) 混杂 模式 (promiscuous model) 。 工 作 在 混杂 模式 下 的 网 卡 接 收 所 有 流 过 网 卡 的 
帧 ,数据 包 捕 获 程序 就 是 在 这 种 模式 下 运行 的 。 

网 卡 的 默认 工作 模式 包含 广播 模式 和 直接 模式 , 即 它 只 接收 广播 帧 和 发 给 自己 的 帧 。 
如 果 采 用 混杂 模式 ,一 个 站 点 的 网 卡 将 接收 同一 网 络 内 所 有 站 点 发 送 的 数据 包 , 这 样 就 可 以 
达到 对 网 络 信息 进行 监视 和 捕获 的 目的 。 

早期 的 以 太 网 采用 的 是 总 线 结 构 , 即 各 台 主 机 使 用 集线器 (hub) 连 接 。 这 时 ,数据 帧 可 
以 到 达 每 一 台 主 机 。 当 网 卡 在 默认 模式 下 工作 时 ,如 果 到 达 的 数据 帧 中 携带 的 物理 地 址 是 
自己 的 或 者 是 广播 地 址 , 则 将 数据 帧 交 给 上 层 协 议 软件 一 一 也 层 软 件 处 理 ,否则 就 将 这 个 
帧 丢弃 。 即 数据 帧 只 能 被 与 目的 地 址 相符 的 主机 接收 。 但 是 , 若 网 卡 的 工作 模式 被 设置 成 
混杂 模式 ,这 台 主 机 就 可 以 接收 所 有 到 达 的 数据 帧 了 。 在 这 样 的 网 络 中 实施 监听 并 非 难 事 ， 
并 且 监 听 可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 调制 
解 调 器 之 间 等 。 

在 UNIX 系统 上 , 当 拥 有 超级 权限 的 用 户 要 想 使 自己 所 控制 的 主机 进入 监听 模式 ,只 
需要 向 Interface( 网 络 接口 ) 发 送 I/O 控制 命令 ,就 可 以 使 主机 设置 成 监听 模式 了 。 而 在 
Windows 9x 的 系统 中 , 则 不 论 用 户 是 否 有 权限 ,都 可 以 通过 直接 运行 监听 工具 进入 监听 
模式 。 


1.5 信息 系统 敏感 数据 获取 


网 络 拓扑 结构 、 网 络 地 址 、 端 口 开 放 状 况 、 运 行 什 么 样 的 操作 系统 、 存 在 哪些 漏洞 以 及 用 
户口 令 等 关系 到 信息 系统 的 运行 和 安全 状态 ,它们 都 可 以 称 为 信息 系统 敏感 数据 。 
获取 与 网 络 有 关 的 敏感 数据 的 手段 是 网 络 扫描 :也 称 网 络 信息 采集 。 内 容 包 括 地 址 扫 
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描 、 端口 扫描 和 漏洞 扫描 。 网 络 扫描 是 网 络 管理 人 员 进 行 网 络 维护 常用 的 手段 ,也 是 攻击 者 
进行 攻击 踩点 、 确 定 攻击 目标 和 攻击 方法 的 基本 手段 。 

获取 用 户口 令 的 手段 是 口令 破解 。 攻 击 者 获得 了 用 户口 令 , 就 可 以 冒充 合法 身份 进入 
被 攻击 系统 。 


1.5.1 网 络 扫 描 


网 络 扫描 的 目的 是 判断 某 个 IP 地 址 上 有 无 活动 主机 或 某 人 台 主 机 是 否 在 线 、 到 达 该 目标 
的 路 由 以 及 有 关 端 口 的 打开 状况 。 


1. 地 址 扫描 


地 址 扫描 可 以 直接 使 用 操作 系统 的 有 关 命 令 进行 ,下 面 是 几 种 常用 的 命令 。 

1) ping 命令 

ping 是 潜水 艇 人 员 的 专用 术语 ,表示 回应 的 声 纳 脉冲 。 在 网 络 中 ,用 ping 命令 向 目标 
主机 发 送 ICMP 回 显 请 求 报 文 ,并 等 待 ICMP 回 显 应 答 , 从 而 检测 网 络 的 连通 情况 和 分 析 网 
络 速度 。 

ping 命令 的 完整 格式 如 下 : 


Ping [-t] [-a] [-n count] [-1 size] [-£] [-i ttl] [-vtos]l [-r count] [-s count] [-j computer 
-list] | [-k computer-list] [-w timeout] destination-list 
各 参数 的 含义 如 下 : 


-t: 不 断 ping 目标 主机 ,直至 中 断 。 

-a; 以 IP 地 址 格式 来 显示 目标 主机 的 网 络 地 址 。 

-n count: 指定 要 ping 的 次 数 , 默 认 值 为 4。 

-1 size: 指定 发 送 到 目标 主机 的 数据 包 的 大 小 ,默认 为 32B, 最 大 值 是 65 527B。 

-f: 在 数据 包 中 发 送 “ 不 要 分 段 " 标 志 , 数 据 包 就 不 会 被 路 由 上 的 网 关 分 段 。 

-i ttl: 将 "生存 时 间 ? 字 段 设置 为 ttl 指定 的 值 。 

-vtos: 将 “服务 类 型 "字段 设置 为 tos 指定 的 值 。 

-r count: 在 “记录 路 由 ”字段 中 记录 传 出 和 返回 数据 包 的 路 由 。count 可 以 指定 最 少 1 
台 ,最 多 9 台 计 算 机 。 

-s count: 指定 count 指定 的 牙 点 数 的 时 间 戳 。 

-j computer-list: 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 可 以 
被 中 间 网 关 分 隔 ( 路 由 稀 玲 源 ) 的 IP 允许 的 最 大 数量 为 9。 

-k computer-list: 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 不 能 
被 中 间 网 关 分 隔 ( 路 由 严格 源 ) 的 IP 允许 的 最 大 数量 为 9 。 

-w timeout: 指定 超时 间隔 ,单位 为 毫秒 。 

destination-list: 指定 要 ping 的 远程 计算 机 。 

2) tracert 命令 

tracert 是 一 个 路 由 跟踪 程序 , 它 通 过 向 目标 发 送 不 同 的 IP 生存 时 间 5CTTIL) 值 的 ICMP 
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回 显 数据 包 来 确定 到 目标 所 选择 的 路 由 。tracert 程序 工作 时 ,首先 发 送 一 个 TTL 王 1Cms) 
的 回 显 数据 包 , 以 后 每 次 递增 1; 它 要 求 每 个 路 由 器 在 转发 数据 包 之 前 先 将 TTL 减 1, 当 
TTL 一 0 时 ,路 由 器 将 返回 ICMP Time Exceeded。 这 样 , 直 到 目标 响应 或 TTL 达到 最 大 值 
后 ,可 以 根据 每 次 到 达 的 路 由 接口 列表 得 到 到 达 目 标的 路 由 信息 。 它 的 主要 选项 如 下 : 

-d: 防止 将 中 间 路 由 器 解析 为 它们 的 IP 地址 。 

-h maximum_hops: 指定 搜索 到 目标 地 址 的 最 大 跳跃 数 ,默认 值 为 30。 

-j host_list: 是 一 系列 用 空格 分 隔 的 带 点 十 进 制 IP 地 址 ,用 来 表示 一 系列 由 一 个 或 多 
个 路 由 器 隔 开 的 中 间 目 标 。 最 大 数量 为 9, 仅 在 IPv4 中 才 使 用 。 

-w timeout: 指定 超时 时 间 间 隔 ,程序 默认 的 时 间 单 位 是 毫秒 。 默 认 值 为 4000 。 

-4: 强制 tracer 使 用 IPv4。 

-6: 强制 tracer 使 用 IPv6。 

target_name: 目标 主机 的 名 称 或 IP 地 址 。 

3) pathping 命令 

pathping 命令 是 一 个 路 由 跟踪 工具 , 它 将 ping 和 tracert 命令 的 功能 与 这 两 个 工具 所 
不 提供 的 其 他 信息 结合 起 来 。pathping 命令 在 一 段 时 间 内 将 数据 包 发 送 到 将 到 达 最 终 目 标 
的 路 径 上 的 每 个 路 由 器 ,然后 根据 从 每 个 路 点 返回 的 数据 包 计 算 结 果 。 由 于 命令 显示 数据 
包 在 任何 给 定 路 由 器 或 链接 上 丢失 的 程度 ,因此 可 以 很 容易 地 确定 可 能 导致 网 络 问题 的 路 
由 器 或 链接 。 它 的 主要 选项 如 下 : 

-n hostnames: 不 将 地 址 解析 成 主机 名 。 

-h maximum hops: 搜索 目标 的 最 大 跃 点 数 。 

-g host-list: 沿 着 主机 列表 释放 源 路 由 。 

-pb period: 在 ping 之 间 等 待 的 毫秒 数 。 

-q num_queries: 每 个 路 点 的 查询 数 。 

-w time-out: 每 次 等 待 回复 的 毫秒 数 。 

-i 地址 : 使 用 指定 的 源 地 址 。 

-4 IPv4: 强制 pathping 使 用 IPv4。 

-6 IPv6: 强制 pathping 使 用 IPv6 。 

4) who 命令 

who 命令 主要 用 于 查看 当前 在 线 上 的 用 户 情况 。 它 的 主要 选项 如 下 : 

-a: 显示 所 有 用 户 的 所 有 信息 。 

-m: 显示 运行 该 程序 的 用 户 名 ,和 who am I 的 作用 一 样 。 

-q: 只 显示 用 户 的 登录 账号 和 登录 用 户 的 数量 ,该 选项 优先 级 高 于 其 他 任何 选项 。 

-u: 在 登录 用 户 后 面 显 示 该 用 户 最 后 一 次 对 系统 进行 操作 距 今 的 时 间 。 

-h: 显示 列 标题 。 

5) ruser 命令 

ruser 是 一 个 UNIX 命令 ,可 以 生成 登录 到 远程 机 的 用 户 列表 。 它 的 主要 选项 如 下 : 

-a: 即使 没有 用 户 登 录 也 提供 报告 。 
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-h: 按 主机 名 的 字母 顺序 排序 。 

-i: 按 空闲 时 间 排 序 。 

-1: 提供 类 似 于 who 命令 的 更 长 的 清单 。 

-u: 按 用 户 数量 排序 。 

6) finger 命令 

finger( 端 口 79) : 是 一 个 UNIX 命令 ,用 于 提供 站 点 及 用 户 的 基本 信息 。 它 的 主要 选 
项 如 下 : 

-s: 显示 用 户 注 册 名 、 实 际 姓名 终端 名 称 、 写 状态 、 停 沾 时 间 和 登录 时 间 等 信息 。 

-1: 除了 用 -s 选项 显示 的 信息 外 ,还 显示 用 户主 目录 、 登 录 Shell、 邮 件 状态 等 信息 ,以 及 
用 户主 目录 下 的 . plan、. project 和 . forward 文件 的 内 容 。 

-p: 除了 不 显示 . plan 文件 和 . project 文件 以 外 ,与 -1 选项 相同 。 

7) host 命令 

host 是 一 个 UNIX 命令 ,可 以 把 一 个 主机 名 解析 到 一 个 网 络 地 址 或 把 一 个 网 络 地 址 解 
析 到 一 个 主机 名 ,得 到 很 多 信息 ,包括 操作 系统 、 计 算 机 和 网 络 的 很 多 数据 。 它 的 必要 选项 
如 下 : 

a: 等 同 于 -v-t。 

-C: 在 需要 认证 的 域名 服务 器 上 查找 SOA 记录 。 

-d: 等 同 于 -v。 

-1: 列 出 一 个 域内 所 有 的 主机 。 

-i: 反 向 查找 。 

-N: 改变 点 数 。 

-r: 不 使 用 递归 处 理 。 

-R: 指定 UDP 包 数 。 

-T: 支持 TCP/IP 模式 。 

-v: 运行 时 显示 详细 的 处 理 信息 。 

-Ws 永远 等 待 回 复 。 

-W: 指定 等 待 回复 的 时 间 。 

-4: 用 于 IPv4 的 查询 。 

-6: 用 于 IPv6 的 查询 。 

8) netstat 

该 命令 可 以 使 用 户 了 解 到 自己 的 主机 是 怎样 与 因特网 相连 接 的 。 它 的 主要 选项 如 下 : 

-r: 显示 本 机 路 由 标的 内 容 。 

-s: 显示 每 个 协议 (包括 TCP、UDP 和 IP) 的 使 用 状态 。 

-n: 以 数字 表格 形式 显示 地 址 和 端口 。 

-a: 显示 所 有 主机 的 端口 号 。 


2. 端口 扫描 技术 


在 TCP/IP 网 络 中 ,端口 号 是 主机 上 提供 的 服务 的 标识 。 例 如 ,FTP 服务 的 端口 号 为 
21,Telnet 服务 的 端口 号 为 23,DNS 服务 的 端口 号 为 53,HTTP 服务 的 端口 号 为 53 等 。 入 
侵 者 知道 了 被 攻击 主机 的 地 址 后 ,还 需要 知道 通信 程序 的 端口 号 。 一 个 打开 的 端口 就 是 一 
个 潜在 的 入 侵 通 道 。 只 要 扫描 到 相应 的 端口 已 打开 .就 知道 目标 主机 上 运行 着 什么 服务 ,以 
便 采 取 针 对 这 些 服务 的 攻击 手段 。 下 面 介 绍 几 种 常用 的 端口 扫描 技术 。 

1) 全 连接 扫描 与 半 连 接 扫 描 

TCP 连接 通过 三 次 握手 (three-way handshake) 建 立 。 1. 32 表示 了 一 个 建立 TCP 
连接 的 三 次 握手 过 程 。 若 主机 B 运行 一 个 服务 器 进程 , 则 它 要 首先 发 出 一 个 被 动 打开 命 
令 ,要 求 它 的 TCP 准备 接收 客户 进程 的 连接 请 求 ,然后 服务 器 进程 就 处 于 “ 听 ” 状 态 ,不断 检 
测 有 无 客户 进程 发 起 连接 的 请 求 。 


主机 A TCP. TCP。 主机 B 
A B 
连接 请 求 SYN=1, ACK=0,SEQ=x 
| 
SYN=1, ACK=1,， SEQ=, CK 确认 
确认 SYNT1, ACK=1, SEQ=x+l1, ACK=y+1 


图 1.32 建立 TCP 连接 的 三 次 握手 过 程 


(1) 若 主机 A 中 运行 有 客户 进程 , 当 它 需要 服务 器 的 服务 时 ,就 要 向 它 的 TCP 发 出 主 
动 连接 请 求 : 用 SYN 二 1 和 ACK=0 表示 连接 请 求 ,用 SEQ 一 x 表示 选择 了 一 个 序号 。 主 
机 B 收 到 A 的 连接 请 求 报 文 , 就 完成 了 第 一 次 握手 。 

(2) 主机 B 如 果 同 意 连接 ,其 TCP 就 向 A 发 回 确认 报 文 : 用 SYN 二 1 和 ACK 王 1 表示 
同意 连接 ,用 ACK 二 x 十 1 表示 对 x 的 确认 ,用 SEQ 王 y 表示 B 选择 的 一 个 序号 。 主 机 A 
接收 到 该 确认 报 文 ,完成 第 二 次 握手 。 

(3) 接着 ,主机 A 的 TCP 就 还 要 向 主机 B 发 出 确认 : 用 SYN 二 1 和 ACK 王 1 表示 同意 
连接 ,用 ACK 王 >y 十 1 表示 对 y 的 确认 ,同时 发 送 A 的 第 一 个 数据 + 十 1。 主 机 B 收 到 主机 
A 的 确认 报 文 ,完成 第 三 次 握手 过 程 。 

完成 这 样 一 个 三 次 握手 , 才 算 建立 了 可 靠 的 TCP 连接 ,才能 可 靠 地 传输 数据 报 文 ,也 可 
以 获取 端口 是 否 开放 的 信息 。 这 种 扫描 称 为 全 连接 扫描 或 TCP connect 扫描 。 但 是 ,这 种 
扫描 往往 会 被 远程 系统 记 入 日 志 。 为 避免 被 记 入 日 志 ; 可 以 使 用 半 开 放 扫 描 TCP SYN 
扫描 。 因 为 , 当 客 户 端 发 出 一 个 SYN 连接 请 求 报 文 后 ,如 果 收 到 了 远程 目标 主机 的 ACK/ 
SYN 确认 ,就 说 明和 远程 主机 的 该 端口 是 打开 的 ;而 车 没有 收 到 远程 目标 主机 的 ACK/SYN 
确认 ,而 是 收 到 RST 数据 报 文 (表明 连接 出 现 了 问题 ) ,就 说 明 远 程 主机 的 该 端口 没有 打开 。 
这 样 对 于 扫描 要 获得 的 信息 已 经 足够 了 ,也 不 会 在 目标 主机 的 日 志 中 留 下 记录 。 这 种 扫描 
称 为 半 连 接 扫描 或 SYN 扫描 。 
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2) TCP FIN 扫描 

FIN 是 释放 连接 的 数据 报 文 , 表 明 发 送 方 已 经 没有 数据 要 发 送 了 。 很 多 日 志 不 记录 这 
类 报 文 。TCP FIN 扫描 的 原理 是 向 目标 端口 发 送 FIN 报 文 , 当 FIN 数据 包 到 达 一 个 关闭 
的 端口 时 ,会 返回 一 个 RST 的 回复 ; 当 FIN 数据 包 到 达 一 个 开放 的 端口 时 ,该 包 将 被 忽略 ， 
没有 回复 。 由 此 可 以 判断 一 个 端口 是 关闭 还 是 打开 的 。 这 种 方法 还 可 以 用 来 区 别 操作 系统 
是 Windows, 还 是 UNIX。 

这 种 方法 比 SYN 扫描 比较 隐蔽 ,也 被 称 为 秘密 扫描 。 但 是 ,有 的 系统 不 管 端口 打开 与 
否 ,一 律 回复 RST。 这 时 ,FIN 扫描 就 不 适用 了 。 

3) 认证 扫描 

前 面 介绍 的 扫描 方法 有 一 个 共同 特点 : 判断 一 个 主机 中 哪个 端口 上 有 进程 在 监听 。 认 
证 扫描 的 特点 与 之 不 同 , 它 是 利用 认证 协议 ,获取 运行 在 某 个 端口 上 进程 的 用 户 名 
(userid)。 其 基本 思路 是 : 尝试 与 一 个 TCP 端口 建立 连接 ,如 果 连 接 成 功 ,扫描 器 发 送 认 证 
请 求 到 目的 主机 的 TCP 端口 113 。 

认证 扫描 同时 也 被 称 为 反 向 认证 扫描 ,因为 即使 最 初 的 RFC 建议 的 是 一 种 帮助 服务 器 
认证 客户 端的 协议 ,然而 在 实际 的 实现 中 也 考虑 了 反 向 应 用 ( 即 客户 端 认证 服务 器 ) 。 

4) UDP ICMP 端口 不 能 到 达 扫 描 

这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 的 是 UDP 协议 。 由 于 这 个 协议 很 简 
单 ,所 以 扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 探测 并 不 发 送 一 个 确认 ,关闭 
的 端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 不 过 ,许多 主机 在 一 个 未 打开 的 UDP 端口 上 收 
到 一 个 数据 包 时 ,会 返回 一 个 ICMP_PORT_UNREACH 错误 ,由 此 可 以 判断 被 扫描 端口 是 
否 关 闭 的 。UDP 和 ICMP 错误 都 不 保证 能 到 达 。 因 此 采用 这 种 扫描 还 必须 实现 在 一 个 包 
看 上 去 是 丢失 的 时 候 能 重新 传输 机 制 。 这 种 扫描 方法 是 很 慢 的 ,并 且 需 要 具有 root 权限 。 

5) UDP recvfrom() 和 write() 扫 描 

当 非 root 用 户 不 能 直接 读 到 端口 不 能 到 达 错 误 时 ,Linux 能 间接 地 在 它们 到 达 时 通知 
用 户 。 比 如 ,对 一 个 关闭 的 端口 的 第 2 个 write() 调 用 将 失败 。 在 非 阻 塞 的 UDP 套 接 字 上 
调用 recvfrom() 时 ,如 果 ICMP 出 错 还 没有 到 达 时 会 返回 EAGAIN( 重 试 )。ICMP 到 达 时 
返回 ECONNREFUSED( 连 接 被 拒绝 )。 这 也 是 用 来 查看 端口 是 否 打 开 的 一 项 技术 。 

6) 乱 序 扫描 

乱 序 扫描 就 是 对 扫描 的 端口 号 集合 随机 地 产生 扫描 顺序 ,并 且 每 次 的 扫描 顺序 不 同 。 
这 就 给 入 侵 检 测 系 统 的 发 觉 端 口 扫描 带 来 困难 。 


3. 网 络 扫 描 工 具 
1) NMap 


网 址 : http://www. insecure. org/nmap 
NMap 是 运行 在 Linux/UNIX 下 的 一 个 功能 非常 强大 的 扫描 工具 ,被 称 为 扫描 之 王 。 
它 支持 多 种 协议 (如 TCP、UDP、ICMP 等 ) 扫 描 , 可 以 用 来 查看 有 哪些 主机 以 及 其 上 运行 何 
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种 服务 。 
NMap 的 扫描 方式 如 下 : 
。 TCP connect 扫描 ; 
。 TCP SYN (half open) 扫描 ; 
。 TCP FIN、Xmas 或 NULL (stealth) 扫描 ; 
。 TCP ftp proxy (bounce attack) 扫描 ; 
。 使 用 IP 分 片 包 的 SYN/FIN 扫描 ; 
。 TCP ACK 和 Window 扫描 ; 
。 UDP raw ICMP port unreachable 扫描 ; 
。 ICMP ping 扫描 ; 
。 TCP ping 扫描 ; 
。 Direct (non portmapper) RPC 扫描 ; 
。 通过 TCP/IP 堆栈 探测 远程 主机 操作 系统 和 Reverse-ident 扫描 等 。 
2) SuperScan 


SuperScan( 如 图 1. 33 所 示 ) 是 一 款 Windows 平 台 上 的 具有 TCP connect 端口 扫描 、ping 和 
域名 解析 等 功能 的 工具 ,能 较 容易 地 做 到 对 指定 范围 内 的 IP 地 址 进行 ping 和 端口 扫描 。 


扫描 ”主机 和 服务 扫 撕 设置 | 扫描 选项 | 工具 ”| Windows 权 举 | 关于 | 


到 查找 主机 回 明 请 求 由 时 设置 ms) 2000 


7 UDP 端口 打手 由 时 设置 mx) F000 


扫描 类 型 6 Date 个 Date + ICF 


厂 使 用 震 志 病 口 厂 


超时 设置 as) |4ooo 


扫描 类 型 ”直接 连接 ( SYN 
厂 使 用 静 考 端口 


饶 复 默认 什 (E) 


图 1.33 SuperScan 主 界面 


SuperScan 的 功能 如 下 : 
(1) 通过 ping 来 检验 IP 是 否 在 线 。 
(2) IP 和 域名 相互 转换 。 
(3) 检验 目标 计算 机 提供 的 服务 类 别 。 
(4) 检验 一 定 范围 的 目标 计算 机 是 否 在 线 和 端口 情况 。 
。 53 。 


(5) 工具 自 定义 列表 检验 目标 计算 机 是 否 在 线 和 端口 情况 。 

(6) 自 定 义 要 检验 的 端口 ,并 可 以 保存 为 端口 列表 文件 。 

(7) SuperScan 自 带 一 个 木马 端口 列表 trojans. lst, 通 过 这 个 列表 可 以 检测 目标 计算 机 
是 否 有 木马 ,也 可 以 自己 定义 修改 这 个 木马 端口 列表 。 

3) Wireshark 


Wireshark( 如 图 1. 34 所 示 ) 是 一 个 网 络 封 包 分 析 软 件 ,其 功能 是 截取 流 经 本 地 网 卡 的 
数据 流量 进而 对 其 进行 分 析 。 通 常 的 应 用 包括 网 络 管理 员 用 来 解决 网 络 问题 ,网 络 安全 工 
程 师 用 来 检测 安全 隐患 ,开发 人 员 用 来 测试 协议 执行 情况 ,学 习 者 用 来 学 习 网 络 协议 。 
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图 1.34 Wireshark 主 界面 


图 形 界 面 的 Wireshark 使 用 十 分 便捷 ,选取 监听 的 网 卡 之 后 , 主 界面 中 会 显示 所 有 的 数 
据 流 量 。 双 击 任意 条 目 , 则 可 以 根据 协议 的 层次 拆 分 该 数据 流 。Wireshark 内 置 了 基本 的 
网 络 协议 ,可 以 方便 地 查询 包括 但 不 局 限于 IP、TCP、UDP、HTTP、FTP 和 SMB 等 常见 的 
协议 内 容 。 


1.5.2 漏洞 扫描 


系统 安全 漏洞 也 称 为 系统 脆弱 性 (vulnerability) ,是 系统 缺陷 和 不 足 。 管 理 人 员 可 以 通 
过 漏洞 扫描 对 所 管理 的 系统 和 网 络 进行 安全 审计 ,检测 系统 中 的 安全 脆弱 环节 ,所 以 也 称 网 
络 安全 扫描 。 攻 击 者 则 可 以 通过 漏洞 扫描 找到 入 侵 攻 击 的 缺口 实施 攻击 。 

常言 道 :“ 苍 蝇 不 叮 无 颖 的 蛋 ” 。 对 于 信息 系统 的 攻击 基本 上 都 是 利用 系统 的 漏洞 进行 
的 。 非 法 用 户 可 利用 系统 安全 漏洞 获得 计算 机 系统 的 额外 权限 ,在 未 经 授权 的 情况 下 访问 
或 提高 其 访问 权 ,危害 计算 机 系统 的 正常 运行 。 

攻击 者 扫描 到 系统 的 漏洞 ,测试 出 目标 主机 的 漏洞 信息 后 ,往往 会 先 通过 使 用 插件 ( 功 
能 模块 技术 进行 模拟 攻击 ,或 者 采用 漏洞 库 的 匹配 方法 ,制定 出 攻击 的 策略 。 网 络 管理 者 
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也 会 针对 这 些 漏 洞 制定 相关 对 策 。 
1. 系统 安全 漏洞 的 类 型 


漏洞 一 直 不 断 被 发 现 。 对 于 漏洞 可 以 从 不 同 的 角度 进行 分 类 ,来 讨论 它们 的 特点 。 

1) 基于 触发 主动 性 的 漏洞 分 类 

(1) 主动 触发 漏洞 。 该 漏洞 可 以 被 攻击 者 直接 用 于 攻击 ,如 直接 访问 他 人 计算 机 。 

(2) 被 动 触发 漏洞 。 这 种 漏洞 必须 有 计算 机 操作 人 员 配 合 才 能 起 作用 。 例 如 攻击 者 给 
某 人 发 一 封 带 有 特殊 的 jpg 图 片 文 件 的 邮件 ,接收 者 只 有 打开 该 图 片 文件 , 才 会 导致 某 个 漏 
洞 被 触发 ,使 系统 被 攻击 ; 若 管理 员 不 看 这 个 图 片 , 则 不 会 受 攻击 。 

2) 基于 发 现时 间 的 漏洞 分 类 

(1) 已 发 现 很 久 的 漏洞 。 厂 商 发 布 补丁 或 修补 方法 已 经 有 一 段 时 间 , 广 为 知晓 。 由 于 
很 多 人 已 经 进行 了 修补 ,因此 宏观 危害 较 小 。 

(2) 刚 发 现 的 漏洞 。 厂 商 刚 发 布 补丁 或 修补 方法 ,知道 的 人 还 不 多 。 这 种 漏洞 相对 于 已 
发 现 很 久 的 漏洞 危害 性 较 大 , 若 此 时 使 用 蠕虫 或 傻瓜 化 程序 ,就 会 导致 大 批 系 统 受到 攻击 。 

(3) 0day 漏洞 。 还 没有 公开 ,或 因 私下 交易 而 形成 的 漏洞 。 这 类 漏洞 会 导致 目标 受到 
精确 攻击 ,危害 非常 大 。 

3) 基于 系统 或 部 位 的 漏洞 分 类 

(1) 操作 系统 漏洞 。 指 计算 机 操作 系统 本 身 所 存在 的 问题 或 技术 缺陷 。 操 作 系 统 产 品 
提供 商 通常 会 定期 对 已 知 漏洞 发 布 补丁 程序 提供 修复 服务 。 

(2) Web 服务 器 漏洞 。 主 要 包括 物理 路 径 泄露 .CGI 源 代 码 泄 露 .执行 任 意 命令 、 缓 冲 
区 溢出 ,拒绝 服务 .SQL 注入 、 条 件 竞争 和 跨 站 脚本 执行 漏洞 。 

(3) 不 同 服务 器 相互 感染 漏洞 。 有 时 候 在 一 台 服务 器 上 会 运行 多 种 网 络 服务 ,如 Web 
服务 器 .FTP 服务 器 等 。 这 就 很 可 能 会 造成 服务 之 间 的 相互 感染 ,攻击 者 只 要 攻击 一 种 服 
务 ,就 可 以 利用 相关 的 技术 作为 平台 ,攻陷 另 一 种 服务 。 

(4) 数据 库 服务 器 漏洞 。 如 某 些 数据 库 服务 器 在 处 理 请 求 数据 时 存在 缓冲 区 溢出 漏 
洞 ,远程 攻击 者 可 能 利用 此 漏洞 控制 服务 器 ,向 数据 库 服务 器 发 送 畸 形 请 求 触 发 漏洞 ,最 终 
导致 执行 任意 指令 。 

(5) 应 用 程序 漏洞 。 这 种 漏洞 由 应 用 程序 编写 时 的 错误 导致 。 目 前 ,大 部 分 应 用 程序 
都 有 数 百 万 行 代码 。 但 人 们 只 需要 几 分 钟 就 可 以 开启 后 门 或 者 安放 “定时 炸弹 ”。 

(6) 内 存 柳 盖 漏 洞 。 内 存 覆 盖 漏 洞 主 要 为 内 存单 元 可 指定 , 写 和 内容 可 指定 。 这 样 就 
能 执行 攻击 者 想 执 行 的 代码 (如 缓冲 区 溢出 漏洞 .格式 化 字符 串 漏洞 .PTrace 漏洞 、 
Windows 2000 的 硬件 调试 寄存 器 用 户 可 写 漏洞 ) 或 直接 修改 内 存 中 的 机 密 数据 。 

4) 基于 成 因 的 漏洞 分 类 

(1) 操作 性 漏洞 。 可 以 分 为 两 种 情形 : 

QO 写 人 内 容 被 控制 。 导 致 可 伪造 文件 内 容 、 权 限 提升 或 直接 修改 重要 数据 (如 修改 存 
贷 数据 ) 。 

@ 内 容 信息 被 输出 。 包 含 内 容 被 打印 到 屏幕 .记录 到 可 读 的 日 志文 件 . 产 生 可 被 用 户 
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读 的 core 文件 等 。 

(2) 配置 漏洞 。 可 以 分 为 如 下 两 种 : 

Q@ 系统 配置 漏洞 。 多 源 于 管理 员 蚊 漏 . 如 共享 文件 配置 漏洞 .服务 器 参数 配置 漏洞 .使 
用 默认 参数 配置 的 漏洞 等 。 

@ 网 络 结构 配置 漏洞 。 多 与 网 络 拓扑 结构 有 关 , 如 将 重要 设备 与 一 般 设 备 设置 在 同一 
网 段 等 。 

(3) 协议 漏洞 。 这 种 漏洞 主要 源 于 Internet 上 的 现行 协议 在 设计 之 初 仅 考 虑 了 效率 和 
可 靠 性 ,没有 考虑 安全 性 。 这 类 漏洞 很 多 。 后 面 将 要 介绍 的 ARP 欺骗 、IP 源 地 址 欺骗 、 路 
由 欺骗 、TCP 会 话 劫 持 ` DNS 欺骗 和 Web 欺骗 等 都 是 由 于 协议 漏洞 的 原因 。 此 外 还 有 
UDP Flood( 循 环 ) 攻 击 ( 基 于 UDP 端口 漏洞 )、SYN Flood 攻击 、Land 攻击 、Smurt 攻击 、 
WinNuke 攻击 、Fraggle 攻击 和 Ping to death 攻击 等 都 源 于 相关 协议 漏洞 。 

(4) 程序 漏洞 。 程 序 漏洞 缘 于 程序 设计 的 复杂 性 、 程 序 设 计 语 言 的 漏洞 和 运行 环境 的 
不 可 预见 性 。 下 面 是 一 些 常 见 程序 漏洞 。 

。 缓冲 区 溢出 漏洞 。 

。 格式 字符 串 漏洞 。 

。 BIND 漏洞 。 

。 Finger 漏洞 。 

。 SendMail 漏洞 。 


2. 常用 漏洞 扫描 器 


目前 已 经 开发 出 了 大 量 的 扫描 器 。 下 面 仅 列举 几 例 。 

1) ISS/SAFESuite( 应 用 层 风 险 评 估 工 具 ) 

ISS(Internet Security Scanner) 始 于 1992 年 ,最 初 由 Christopher Klaus 发 布 ,是 一 个 
小 小 的 开放 源 代 码 扫描 器 ,但 功能 强大 :不 过 价格 也 昂贵 。 

它 可 以 用 来 检查 使 用 TCP/ 了 协议 网 络 连 接 的 主机 是 否 会 受到 攻击 ,可 以 扫描 以 下 漏洞 : 

。 一 些 默 认 的 包头 ,如 是 否 存在 “guest” “bbs” 等 ; 

。 IP 包头 ; 

。 Decode Alias; 

。 Sendmail; 

。 匿名 FTP; 

。 NIS; 

e。 NFS; 

@ rusers,。 

SAFESuite 是 ISS 的 最 新 版 本 ,功能 更 强 , 效 率 更 高 ,不 仅 可 以 运行 在 UNIX 下 ,还 可 
以 运行 在 Windows 下 。 它 不 仅 能 广泛 检查 各 种 服务 ,还 能 对 所 发 现 的 漏洞 提供 如 下 信息 : 

。 位置; 

。 有 关 描 述 ; 

。 正确 的 应 对 建议 。 
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2) Nessus 

Nessus( 如 图 1. 35 所 示 ) 是 一 款 可 以 运行 在 Linux、BSD、Solaris 以 及 其 他 一 些 系 统 上 
的 远程 漏洞 扫描 与 分 析 软 件 , 它 采用 B/S 架构 的 方式 安装 ,以 网 页 的 形式 向 用 户 展现 。 用 
户 登 录 之 后 可 以 指定 对 本 机 或 者 其 他 可 访问 的 服务 器 进行 漏洞 扫描 。Nessus 的 扫描 程序 
与 漏洞 库 相 互 独立 ,因而 可 以 方便 地 更 新 其 漏洞 库 . 同 时 提供 多 种 插件 的 扩展 和 一 种 语言 
NASL(Nessus Attack Scripting Language) 用 来 编写 测试 选项 , 极 大 地 方便 了 漏洞 数据 的 维 
护 更新。 在 扫描 完成 后 ,Nessus 还 可 以 生成 详尽 的 用 户 报 告 ,包括 脆弱 性 、 漏 洞 修补 方法 
以 及 危害 级 别 等 ,以 方便 后 续 加 固 工作 。 


Scans Reporis Scans “Policies Users Configuration 


国 Add Scan 


[CI 


Scan Targets 


Targets Flle 


图 1.35 Nessus 主 界面 


3) Mysfind 

Mysfind 是 著名 的 扫描 器 pfind 的 加 强 版 ,主要 用 于 扫描 Printer 漏洞 和 Unicode 漏洞 。 
Printer 漏洞 可 以 让 攻击 者 取得 系统 的 控制 权 ,Unicode 可 以 让 攻击 者 随意 操作 系统 内 的 文 
件 甚至 完全 控制 系统 。 它 采用 多 线程 扫描 系统 漏洞 ,速度 快 ,结果 准 。 

Mysfind 是 一 个 命令 行程 序 , 格 式 如 下 : 


sfind 漏洞 类 型 ”开始 IP 地 址 ”结束 IP 地 址 


它 有 3 种 扫描 方式 : 

-all: 扫描 所 有 漏洞 

-e: 扫描 Printer 漏洞 ,可 以 让 攻击 者 取得 系统 的 控制 权 ; 

-u: 扫描 Unicode 漏洞 ,可 以 让 攻击 者 随意 操作 计算 机 内 的 文件 甚至 完全 控制 系统 。 

扫描 结束 以 后 ,结果 自动 保存 在 sfind. txt 文件 中 。 

4) X-Scan 

X-Scan 能 够 扫描 大 范围 网 段 中 存在 漏洞 的 主机 。 它 采用 多 线程 方式 对 指定 IP 地 址 
(或 单机 ) 进 行 安 全 漏洞 检测 ,支持 插件 功能 .可 以 在 图 形 和 命令 两 种 界面 下 操作 ,扫描 内 容 
包括 远程 操作 系统 类 型 及 版 本 、 标 准 端口 状态 、 端 口 BANNER 信息 .SNMP 信息 、.CGI 漏 
洞 .IIS 漏洞 .RPC 漏洞 .SQIL-Server、FTP-Server、SMTP-Server、POP3-Server、NT-Server 
和 注册 表 信 息 等 。 
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5) Zenoss 


Zenoss 是 商业 服务 器 监控 工具 Zenoss Enterprise 的 一 个 开源 版 本 ,全 部 由 Python 语 
言 编 写 。 它 支持 Nagios plugin format(Nagios 插件 格式 ) ,所 以 许多 Nagios 的 插件 也 可 以 
用 于 Zenoss。Zenoss 的 一 个 突出 的 地 方 是 它 强大 而 又 容易 使 用 的 用 户 接口 。 

6) AppScan 

AppScan 是 IBM 公司 推出 的 一 款 Web 应 用 安全 测试 工具 , 它 采 用 黑 盒 测试 的 方式 ,可 
以 扫描 常见 的 Web 应 用 安全 漏洞 。 

7) Nikto 


Nikto 是 一 款 非常 全 面 的 Web 扫描 器 ,能 在 200 多 种 服务 器 上 扫描 出 2000 多 种 有 潜在 危 
险 的 文件 .CGI 及 其 他 问题 。 它 也 使 用 LibWhiske 库 ,但 通常 比 Whisker 更 新 得 更 为 频繁 。 
8) N-Stealth 


N-Stealth 是 ZMT 公司 出 品 的 一 款 商业 的 Web 站 点 安全 扫描 软件 ,同时 也 有 可 以 免费 
使 用 的 版 本 ,只 是 功能 没有 商业 版 本 的 多 ,漏洞 库 也 不 支持 自动 更 新 。 


实验 2 系统 扫描 
1. 实验 目的 


(1) 了 解 扫描 攻击 的 基本 原理 。 
(2) 掌握 常用 扫描 工具 的 基本 用 法 。 
(3) 学 习 扫 描 器 程序 设计 的 基本 方法 。 


2. 实验 内 容 


(1) 使 用 两 种 扫描 器 软件 进行 扫描 ,包括 SATAN ,流光 、CIS 和 SuperScan 等 。 对 扫描 
结果 进行 统计 分 析 , 并 提出 被 扫描 系统 的 安全 改进 方案 。 

(2) 比较 两 种 扫描 器 的 功能 、 特 点 和 效果 。 

(3) 演示 自己 设计 的 端口 或 漏洞 扫描 程序 ,并 记录 演示 的 扫描 过 程 及 结果 。 

(4) 建立 漏洞 库 。 

(5) 运行 自己 设计 的 、 基 于 漏洞 库 的 、 高 效率 的 扫描 软件 .用 它 进行 端口 和 漏洞 扫描 ,并 
进行 主机 脆弱 性 分 析 。 


3. 实验 准备 


(1) 设计 实验 的 环境 。 

(2) 比较 几 种 常用 扫描 器 , 选 定 一 两 种 实用 扫描 器 。 

(3) 设计 使 用 扫描 器 的 步骤 。 

(4) 设计 漏洞 库 建 立 的 方法 和 步骤 。 

(5) 设计 一 个 可 以 演示 扫描 过 程 和 结果 的 扫描 器 程序 。 

(6) 设计 一 个 基于 漏洞 库 设计 并 实现 一 个 高 效率 的 扫描 软件 ,可 以 进行 端口 和 漏洞 扫 
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描 ,并 可 以 进行 主机 脆弱 性 分 析 。 
4. 推荐 的 分 析 讨 论 内 容 
(1) 分 析 网 络 扫描 器 在 网 络 管理 和 网 络 安全 方面 的 作用 。 
(2) 其 他 发 现 或 想到 的 问题 。 

1.5.3 口令 破解 


口令 机 制 是 资源 访问 的 第 一 道 关口 。 攻 破 了 这 道 关口 ,就 打开 了 进入 系统 的 第 一 道 大 
门 。 所 以 口令 攻击 是 入 侵 者 最 常用 的 攻击 手段 。 口 令 攻击 可 以 从 破解 口令 和 屏蔽 口令 保护 
两 个 方面 进行 。 下 面 主要 介绍 口令 破解 技术 。 


1. 口令 破解 的 基本 技术 
口令 破解 首先 要 获取 口令 文件 ,然后 采取 一 定 的 攻击 技术 进行 口令 的 破解 。 下 面 介 绍 
口令 破解 的 基本 方法 。 
1) 口令 字典 猜测 破解 法 
攻击 者 基于 某 些 知识 ,编写 出 口令 字典 ,然后 对 字典 进行 穷 举 或 猜测 攻击 。 表 1. 5 为 口 
令 字 典 的 构造 方法 。 
表 1.5 口令 字典 的 构造 方法 


序号 口令 类 型 实例 口令 类 型 实例 
1 | 规范 单词 computer 医药 词汇 vitamin 
2 | 反 写 规范 单词 retupmoc 技术 词汇 Ruter 
3 词 首 正规 大 写 Computer 商品 beer 
1 反 拼 写 与 反 大 写 computeR 用 户 标识 忽 woodc 
5 | 缩写 TCP 反 写 用 户 标识 符 cdoow 
6 | 带 点 缩写 TE P 24 | 串 接 用 户 标识 符 woodc-woodc 
7 | 缩写 后 带 点 CE 25 | 截 短 用 户 标识 符 woo 
8 | 略 写 etc. 26 | 串 接 用 户 标识 符 并 截 短 | woodcwood 
9 | 专 有 名 词 缩写 , 带 点 Ph. D 27 | 单字 符 构 成 串 bbbbbb 
10 | 专 有 名 词 缩写 ,不 全 大 写 |kHz 28 | 键盘 字母 asdfgh 
| 姓 Bush 29 文化 名 人 Beethoven 
1 名 Tom 30 年 月 日 040723 
13 | 所 有 格 Bob s 3 电话 号 码 5863583 
14 | 动词 变化 see,sees,saw,seen 邮政 编码 214036 
15 | 复数 books 证 件 号 码 20010612345 
16 | 法 律 用 语 legal 门牌 号 码 AB3579 
17 | 地 名 ( 城 / 街 / 山 / 河 等 ) ”| BeiJing 车 牌号 码 苏 -w12345 
18 | 生物 词汇 Dog : 


。 59 。 


目前 ,Internet 上 已 经 提供 了 一 些 口 令 字 典 ,从 一 万 到 几 十 万 条 ,可 以 下 载 。 此 外 ,还 有 
一 些 可 以 生成 口令 字典 的 程序 。 利 用 口令 字典 可 以 通过 猜测 方式 进行 口令 破解 攻击 。 

2) 穷 举 破解 法 

有 人 认为 使 用 足够 长 的 口令 或 者 使 用 足够 完善 的 加 密 模式 ,就 不 会 被 攻破 。 事 实 上 没 
有 攻 不 破 的 口令 ,这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 尝试 字母 .数字 .特殊 
字符 的 所 有 组 合 ,将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方式 通过 穷 举 口令 空间 获得 
用 户口 令 , 称 为 穷 举 破解 法 或 蛮 力 破解 ,也 叫 强行 攻击 。 如 先 从 字母 a 开始 ,尝试 aa、ab、 
ac\、… ,然后 尝试 aaa aab .aac、…。 

3) 组 合 破解 法 

词典 破解 法 只 能 发 现 词典 单词 口令 ,但 是 速度 快 。 穷 举 破解 法 能 发 现 所 有 的 口令 ,但 是 
破解 时 间 很 长 。 鉴 于 很 多 管理 员 要 求 用 户 使 用 字母 和 数字 ,用 户 的 对 策 是 在 口令 后 面 添加 
几 个 数字 ,如 把 口令 computer 变 成 computer99。 使 用 强行 破解 法 又 非常 费时 间 。 由 于 实 
际 的 口令 常常 很 弱 ( 可 以 通过 对 字典 或 常用 字符 列表 进行 搜索 或 经 过 简单 置换 而 发 现 的 口 
令 ), 这 时 可 以 基于 词典 单词 而 在 单词 尾部 串 接 几 个 字母 和 数字 ,这 就 是 组 合 破解 法 。 

4) 其 他 破解 类 型 

。 社会 工程 学 : 通过 对 目标 系统 的 人 员 进 行 游说 、 欺 骗 、 利 诱 , 获 得 口令 或 其 部 分 。 

。 偷 舌 : 观察 别人 输入 口令 。 

。 搜索 垃圾 箱 。 


2. 口令 破解 工具 
1) Cain & Abel( 穷 人 的 LOphtCrack) 


网 址 : http://www. oxid. it/cain. html 

类 别 : 免费 

平台 : Windows 

简介 : Cain &. Abel 是 一 个 针对 Windows 操作 系统 的 免费 口令 恢复 工具 。 它 通过 如 下 
多 种 方式 轻松 地 实现 口令 恢复 : 网 络 嗅 探 \、 破 解 加 密 口 令 ( 使 用 字典 或 强行 攻击 )、 解 码 被 打 
乱 的 口令 、 显 示 口 令 框 .显示 缓存 口令 和 分 析 路 由 协议 等 。 该 工具 的 源 代码 不 公开 。 

2) DSniff( 一 流 的 网 络 审计 和 渗透 测试 工具 ) 

网 址 : http://naughty. monkey. org/~ dugsong/ dsniff/ 

类 别 : 开放 源码 

平台 : Linux/BSD/UNIX/Windows 

简介 : DSniff 是 由 Dug Song 开发 的 一 套 包 含 多 个 工具 的 软件 套件 。 其 中 , dsniff、 
filesnarf .mailsnarf、msgsnarf、rlsnarf 和 webspy 可 以 用 于 监视 网 络 上 的 数据 (如 口令 、 
E-mail .文件 等 ) ,arpspoof .dnsspoof 和 macof 能 很 容易 地 载 取 到 攻击 者 通常 难以 获取 的 网 
络 信息 (如 二 层 交换 数据 ) ,sshmitm 和 webmitm 则 能 用 于 实现 重 写 SSH 和 HTTPS 会 话 
达到 monkey-in-the-middle 攻击 。 在 http://www. datanerds. net/~ mike/dsniff. html 可 
以 找到 Windows 平台 上 的 移植 版 。 

去 启 加 六 


3) John the Ripper( 格 外 强大 .灵活 、 快 速 的 多 平台 哈 希 口令 破解 器 ) 

网 址 : http://www. openvvall. com/john/ 

类 别 : 开放 源码 

平台 : Linux/BSD/UNIX/Windows 

简介 : John the Ripper 是 一 个 快速 的 口令 破解 器 ,支持 多 种 操作 系统 ,如 UNIX、DOS、 
Win32、BeOS 和 OpenVMS 等 。 它 设计 的 主要 目的 是 用 于 检查 UNIX 系统 的 弱 口 令 ,支持 
几乎 所 有 UNIX 平台 上 经 crypt 函数 加 密 后 的 口令 哈 希 码 , 也 支持 Kerberos AFS 和 
Windows NT/2000/XP LM 哈 希 码 等 。 

4) LOphtCrack 4(Windows 口令 审计 和 恢复 程序 ) 

网 址 : http://www. atstake. com/research/lc/ 

类 别 : 商业 

平台 : Linux/BSD/UNIX/Windows 

简介 : LophtCrack 从 独立 的 Windows NT/2000 工作 站 、 网 络 服务 器 、 主 域 控制 器 或 
Active Directory 上 正当 获取 或 者 从 线路 上 嗅 探 到 的 加 密 哈 希 值 里 破解 出 Windows 口令 ， 
含有 词典 攻击 ` 组 合 攻击 .强行 攻击 等 多 种 口令 猜 解 方法 。 

5) 网 络 刺 客 

网 络 刺 客 是 一 个 强大 的 网 络 安全 工具 ,扫描 只 是 其 中 的 一 个 功能 。 它 的 扫描 功能 包括 
共享 扫描 、 端 口 扫描 和 口令 扫描 猜测 等 。 


1.6 ”网络 欺骗 漏 洞 攻 击 举例 


在 网 络 环境 下 ,通信 主体 之 间 的 认证 也 是 基于 数字 进行 的 。 这 种 非 直接 的 认证 为 欺骗 
Cspoofing) 提 供 了 机 会 。 广 义 地 说 ,网 络 欺骗 泛 指 在 网 络 环境 下 ,攻击 者 冒充 已 经 建立 了 信 
任 关系 的 对 象 中 的 一 方 , 对 另 一 方 进行 欺骗 :获取 有 用 资源 的 行为 。 一 般 说 来 ,网 络 欺骗 是 
针对 网 络 协 议 漏洞 实施 的 。 本 节 讨 论 几 种 常见 的 网 络 欺 骗 攻 击 的 原理 和 手段 。 


1.6.1 ARP 欺骗 一 一 交换 网 络 监听 


在 第 1.1.6 节 中 介绍 了 在 共享 网 络 中 的 窃听 问题 。 但 是 ,现在 以 太 网 已 经 从 共享 进入 
到 交换 时 代 。 交 换 式 网 络 不 是 共享 网 络 ,交换 式 设 备 可 以 准确 地 将 数据 报 文 发 给 目的 主机 。 
这 时 ,在 交换 网 络 中 ,能够 直接 收听 的 是 群发 帆 和 广播 帧 ,无 法 直接 实施 广泛 监听 。 

在 这 种 环境 下 ,由 于 一 个 局 域 网 上 发 往 其 他 网 络 的 数据 帧 的 目标 地 址 都 是 指向 网 关 的 ， 
因此 实施 监听 的 一 个 简单 的 方法 是 将 安装 有 Sniffer 软件 的 计算 机 伪装 成 为 网 关 。 这 就 是 
ARP(Address Resolution Protocol, 地 址 解析 协议 ) 期 骗 窃听 。 


1. ARP 欺骗 窃听 原理 


ARP 是 一 个 将 32 位 的 IP 地 址 翻译 成 48 位 MAC 地 址 的 协议 。 图 1. 36 是 ARP 的 请 
求 和 应 答 分 组 格式 。 
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以 太 网 目的 | 以 太 网 源 帧 类 型 ARP 首 部 | 源 MAC 地 址 | 源 IP 地 址 | 目的 MAC 地 址 的 IP 地 址 
地 址 (6B) | 地 址 (6B) (2B) (8B) (6B) (4B) (6B) (4B) 


以 太 网 首部 以 太 网 ARP 字 段 
1.36 ARP 请 求 和 应 答 分 组 格式 


ARP 协议 是 一 个 无 状态 的 协议 ,一 旦 收 到 ARP 应 答 报 文 ,就 会 对 其 高 速 缓存 中 的 IP 
地 址 到 MAC 地 址 的 映射 记录 进行 更 新 ,而 不 会 关心 之 前 是 否 发 出 过 ARP 请 求 。ARP 其 
骗 的 核心 就 是 向 目标 主机 发 送 一 个 包含 伪造 的 IP-MAC 映射 信息 的 ARP 应 答 报 文 。 当 目 
的 主机 收 到 此 应 答 报 文 后 就 会 更 新 其 ARP 高 速 缓存 ,从 而 使 目标 主机 将 报 文 发 送 给 错误 
的 对 象 。 这 种 攻击 也 称 中 间 人 攻击 。 

所 谓 中 间 人 攻击 ,就 是 使 进行 监听 的 主机 插 人 到 被 监听 主机 与 其 他 网 络 主机 之 间 ,利用 
ARP 欺骗 进行 攻击 ,造成 进行 监听 的 主机 成 为 被 监听 主机 与 其 他 网 络 主机 通信 的 中 继 。 如 
图 1.37 所 示 ,当主 机 A 要 给 主机 也 发 送 IP 包 时 ,在 报头 中 需要 填写 B 的 IP 为 目标 地 址 ， 
并 且 这 个 IP 包 在 以 太 网 上 传输 的 时 候 , 还 需要 进行 一 次 以 太 包 的 封装 , 即 填 入 B 的 MAC 
地 址 。 但 是 A 是 不 知道 B 的 MAC 地 址 的 。 为 了 获得 B 的 MAC 地 址 ,A 就 广播 一 个 ARP 
请 求 包 ,请 求 包 中 填 有 B 的 IP 地址 ,以 太 网 中 的 所 有 计算 机 都 会 接收 这 个 请 求 , 而 正常 的 情 
况 下 只 有 B 会 给 出 ARP 应 答 包 , 包 中 就 填充 上 了 B 的 MAC 地 址 ,并 回复 给 A。A 得 到 
ARP 应 答 后 ,将 B 的 MAC 地 址 放 入 本 机 缓存 ,便于 下 次 使 用 ,或 者 更 新 已 有 的 ARP 缓存 。 


A 被 监听 主机 B 任 一 其 他 主机 
p192.168.0.1 上 EJ EE] io 168.03 
MACO01:01:01:01:01:01 C 于 | MAC02:02:02:02:02:02 


C 实 施 监 听 主 机 
IP192.168.0.3 
L__”] MACO03:03:03:03:03:03 


图 1.37 ARP 欺骗 窃听 


由 于 ARP 协议 并 不 只 在 发 送 了 ARP 请 求 后 才 接 收 ARP 应 答 , 这 就 会 使 入 侵 者 有 机 
可 乘 。 例 如 ,局 域 网 中 的 主机 C 可 能 会 冒充 主机 B 向 A 发 送 一 个 伪造 的 ARP 应 答 ,应 答 中 
的 IP 地址 为 B 的 IP,; 而 MAC 地 址 是 主机 C 的 MAC 地 址 (也 可 以 是 另外 的 主机 D 的 MAC 
地 址 ), 则 当 A 接收 到 C 伪造 的 ARP 应 答 后 ,就 会 更 新 本 地 的 ARP 缓存 ,这 样 A 就 会 把 发 
向 B 的 数据 包 发 送 到 同一 物理 网 的 主机 C( 或 D)。 这 样 ,C 就 是 插入 的 A 和 也 之 间 的 进行 
攻击 的 主机 。 


2. ARP 欺骗 窃听 防范 


1) 采用 静态 ARP 
指定 静态 ARP, 即 将 IP 地 址 与 MAC 地 址 绑 定 。 大 多 数 UNIX 系统 支持 ARP 读 取 指 
定 的 IP 和 MAC 地 址 对 应 文件 ,首先 编辑 内 容 为 IP 和 MAC 地 址 对 照 的 文件 ,然后 使 用 命 
令 arp -f /path/to/ipandmacmapfile 读 取 文件 .这 样 就 指定 了 静态 的 ARP 地 址 ,即使 接收 到 
ARP 应 答 ,也 不 会 更 新 自己 的 ARP 缓存 ,从 而 使 ARP 其 骗 丧 失 作用 。 
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Windows 系统 没有 -f 这 个 参数 ,但 有 -s 参数 ,可 以 用 命令 行 指定 IP 和 MAC 地 址 对 照 
关系 ,如 arp -s 192. 168. 1. 33 00-90-6d-f2-24-00。 但 除了 Windows XP 外 ,其 他 的 版 本 的 
Windows 平台 即 使 这 样 做 , 当 接 收 到 伪造 的 ARP 应 答 后 ,依然 会 更 新 自己 的 ARP 缓存 ,用 
新 的 MAC 地 址 替换 掉 老 的 MAC 地 址 ,所 以 无 法 对 抗 ARP 欺骗 。 而 且 采 用 静态 ARP 有 
一 个 缺憾 ,就 是 如 果 网 络 很 大 的 话 ,工作 量 会 非常 大 。 

2) ARP 监听 检测 

首先 ,借助 检测 IP 地 址 和 MAC 地 址 对 应 的 工具 ,如 arpwatch, 安 装 了 arpwatch 的 系 
统 在 发 生 MAC 地 址 变化 时 会 在 系统 的 日 志文 件 中 看 到 如 下 提示 : 

Apr 21 23:05:00 192.168.1.35 arpwatch: flip flop192.168.1.330:90:6d:f2:24:0 (8:0:20:c8:fe: 

153 

21 23:05:02 192.168.1.35 arpwatch: flip flop 192.168.1.33 8:0:20:c8:fe:15 (0:90:6d:f2: 

24:0) 


Apr 21 23;05:03 192.168.1.35 arpwatch: f1ip fiop 192.168.1.33 0:90:;6d:£2:24:0 (8:0:;20:;c8:fe: 
15) 


从 提示 中 可 以 看 出 ,arpwatch 检测 到 了 网 关 MAC 地 址 发 生 了 改变 。 

其 次 ,借助 于 一 些 人 侵 检测 系统 ,如 Snort, 也 可 以 起 到 的 一 定 的 检测 作用 。 在 Snort 的 
配置 文件 中 打开 arpspoof 的 preprocessor 开关 并 进行 配置 即 可 。 

3) 数据 加 密 

数据 加 密 可 以 使 攻击 者 即使 窃听 到 ,也 无 法 了 解 内 容 。 


3. 监听 器 


监听 器 (sniffer) 是 一 种 于 捕获 网 络 报 文 的 软件 ,可 以 用 来 进行 网 络 流量 分 析 , 找 出 网 络 
中 潜在 问题 ,确定 在 通信 所 使 用 的 多 个 协议 中 属于 不 同 协议 的 流量 大 小 , 哪 台 主机 承担 主要 
协议 的 通信 , 哪 台 主 机 是 主要 的 通信 目的 地 , 报 文 发 送 的 时 间 是 多 少 , 主 机 间 报 文 传送 的 时 
间 间 隔 等 ,是 网 络 管理 员 的 一 种 常用 工具 。 

监听 器 只 是 接收 数据 ,而 不 向 外 发 送 数据 ,从 而 能 悄 无 声息 地 监听 到 所 有 局 域 网 内 的 数 
据 通信 ,其 潜在 危害 性 也 在 于 此 。 

下 面 介绍 几 种 常用 的 监听 器 。 

1) Sniffer Pro 


Sniffer Pro 是 NAI 公 司 开 发 的 一 种 图 形 界 面 嗅 探 器 。 它 功能 强大 ,能 全 面 监 视 所 有 网 
络 信息 流量 ,识别 和 解决 网 络 问题 ,是 目前 唯一 能 够 为 七 层 OSI 网 络 模型 提供 全 面 性 能 管 
理 的 工具 。 

2) Libpcap/ Winpcap 

Libpcap 是 Packet Capture Library( 数 据 包 捕获 函数 库 ) 的 缩写 与 重组 。 它 不 是 一 个 监 
听 器 ,但 是 它 提 供 的 C 语言 函数 接口 可 用 于 对 经 过 网 络 接口 的 数据 包 的 捕获 ,以 支持 监听 
器 产品 的 开发 。Winpcap 是 Libpcap 的 Win32 版 本 。 

a 本 


3) Dsniff 

Dsniff 是 Dug Song 编写 的 一 个 功能 强大 的 工具 软件 包 , 它 可 以 支持 多 种 协议 类 型 , 包 
括 FTP、Telnet, rlogin、Ldap、SMTP、POP、IMAP.\IRC.ICQ. MS-CHAP. Npster, Citrix、 
ICA、PCAnywher、SNMP 、OSPF 、PPTP、X11、NFS、RIP、VRRP、Oracle SQL * Net、 
Microsoft SQL Protocol、PostgreSQL 等 。 

4) Tcpdump/Windump 


Tcpdump 是 一 个 传统 的 嗅 探 器 ,通过 将 网 卡 设置 为 混杂 模式 截取 帧 进行 工作 。 
4. ARP 监听 软件 arpspoof 


arpspoof 是 Dsniff 中 的 一 个 组 件 ,是 一 个 基于 ARP 理论 的 网 络 监 听 程 序 , 它 的 工作 原 
理 是 这 样 的 : 发 起 ARP 欺骗 的 主机 向 目标 主机 发 送 伪 造 的 ARP 应 答 包 ,骗取 目标 系统 更 
新 ARP 表 ,将 目标 系统 的 网 关 的 MAC 地 址 修改 为 发 起 ARP 欺骗 攻击 的 主机 MAC 地 址 ， 
使 数据 包 都 经 由 发 起 ARP 欺骗 的 主机 。 这 样 即使 系统 连接 在 交换 机 上 ,也 不 会 影响 对 数 
据 包 的 截取 ,由 此 就 轻松 地 通过 交换 机 实现 了 网 络 监听 。 例 如 ,主机 A 和 B 连接 在 交换 机 
的 同一 个 VLAN( 虚 拟 局 域 网 ) 上 。 

A 机 的 IP 地 址 为 192. 168. 1. 37。 

B 机 的 IP 地 址 为 192.168. 1. 35,MAC 地 址 为 08-00-20-c8-fe-15。 

网 关 的 IP 地 址 为 192. 168.1. 33 ,MAC 地 址 为 00-90-6d-f2-24-00。 

(1) 首先 在 A 机 上 看 看 A 机 的 ARP 表 : 

C:>arp -a 

nbsp; Interface: 192.168.1.37 


Internet Address Physical Address Type 
192.168.1.33 00-90-6d-f2-24-00 dynamic 


可 以 看 到 A 机 中 保留 着 网 关 的 IP 地 址 192. 168. 1. 33 和 对 应 的 MAC 地 址 00-90-6d- 
f2-24-00 。 
(2) 在 也 机 上 执行 arpspoof ,将 目标 指向 A 机 ,宣称 自己 为 网 关 , 如 下 : 


HOSTB#arpspoof -t 192.168.1.37 192.168.1.33 


8:0:20:c8:fe:15 0:50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 
BsOs205c8sfEes15 0s:S50sbaslasf£:60 0806 423: arp reply 192 .168.1.33 is=at 8:0:20sc8: fes15 
8:0:20:c8:fe:15 0:50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 
8:0:20:c8:fe:15 0:50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 
B020c8:fes15 0:S50:ba:lasfscd 0806 423 arp reply 192.168.1.33 1s=at 8:0:20:c8:fes15 
8s0:20sc8sEe:15 0sS0sba:lasf£:ce0 0806 42: arp reply 192.169.1.33 is=-at 8:0:20:c8:£fe:15 
8:0:20:c8:fe:15 0:S50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is~-at 8:0:20:c8:fe:15 
8:0:20:c8:fe:15 0:50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 
8:0:20:c8:fe:15 0:50:ba:la:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 


可 以 看 到 B 机 持续 向 A 发 送 ARP 回应 包 , 宣 称 网 关 192. 168. 1. 33 的 MAC 地址 是 也 
机 自己 。 此 时 ,在 A 机 上 看 看 ARP 表 的 内 容 : 
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C:>arp -a 

Interface: 192.168.1.37 

Internet Address Physical Address Type 
192.168.1.33 08-00-20-c8-fe-15 dynamic 


显然 A 机 的 ARP 表 已 经 改变 了 ,网 关 的 MAC 地 址 被 更 新 为 也 机 的 MAC 地址 。 这 
样 , 当 有 数据 包 发 送 时 ,A 机 理所当然 地 会 发 到 其 ARP 表 中 网 关 对 应 的 MAC 地 址 08-00- 
20-c8-fe-15。 可 是 ,A 机 却 不 知道 它 的 数据 实际 上 发 送 到 了 一 台 别 有 用 心 的 BB 机 。 

(3) 但 是 还 不 能 这 样 结束 。 为 了 让 A 机 不 会 有 明显 的 感觉 ,B 机 还 必须 打开 数据 转发 : 

@ 在 Linux 中 可 以 使 用 sysctl -w net. ipv4. ip_forward 一 1。 

@) 在 BSD 系统 可 以 使 用 sysctl -w net. inet. ip. forwarding 一 1。 

@ 在 Solaris 系统 可 以 使 用 ndd -set /dev/ip ip_forwarding 1。 

除了 这 样 打开 内 核 的 支持 外 ,也 可 以 选用 外 部 的 fragrouter 等 转发 软件 ,如 此 ,就 能 确 
保 A 机 正常 工作 了 。 


实验 3 监听 器 工具 的 使 用 
1. 实验 目的 


(1) 了 解 监听 器 的 基本 原理 。 
(2) 掌握 一 种 监听 器 工具 的 基本 用 法 。 


2. 实验 内 容 

(1) 下 载 并 安装 一 种 监听 器 工具 。 

(2) 使 用 安装 的 监听 器 工具 进行 网 络 信息 收集 。 

3. 实验 准备 

(1) 设计 实验 的 环境 。 

(2) 选 定 一 种 监听 器 工具 ,记录 其 下 载 网 址 。 

(3) 罗列 出 使 用 该 监听 器 工具 的 步骤 和 方法 。 

4. 推荐 的 分 析 讨 论 内 容 

(1) 分 析 监 听 器 工具 在 网 络 管理 和 网 络 安全 方面 的 作用 。 

(2) 其 他 发 现 或 想到 的 问题 。 
1.6.2 IP 源 地 址 欺骗 


IP 协议 有 一 个 缺陷 : 它 只 依据 IP 关中 的 目的 地 址 发 送 数据 包 , 而 不 对 数据 包 中 的 IP 
地 址 进行 认证 。 这 个 缺陷 使 任何 人 不 经 授权 就 可 以 伪造 IP 包 的 源 地 址 。IP 源 地 址 欺骗 就 
是 基于 这 一 点 ,使 攻击 者 可 以 假冒 他 人 的 IP 地 址 向 某 一 台 主 机 发 送 数据 包 ,进行 攻击 。 
攻击 者 使 用 IP 地 址 欺骗 的 目的 主要 有 两 种 : 
(1) 隐藏 自身 :对 目标 主机 发 送 不 正常 包 ,使 之 无 法 正常 工作 。 
。 65 。 


(2) 伪装 成 被 目标 主机 信任 的 友好 主机 得 到 非 授 权 的 服务 。 
1. IP 源 地 址 欺骗 攻击 的 基本 过 程 


IP 源 地 址 欺骗 是 冒 用 别 的 主机 的 IP 地 址 用 于 欺骗 第 三 者 。 假 定 有 两 台 主 机 S( 设 IP 
地 址 为 201. 15. 192.11) 和 下 ( 设 IP 地 址 为 201. 15. 192. 22) ,并 且 它 们 之 间 已 经 建立 了 信任 
关系 。 入 侵 者 X 要 对 全 进行 IP 欺骗 攻击 ,就 可 以 假冒 S 与 工 进 行 通 信 。 

(1) 确认 攻击 目标 。 

施行 IP 源 地 址 欺骗 的 第 一 步 是 确认 攻击 目标 。 下 面 是 容易 受到 电子 欺骗 攻击 的 服务 
类 型 : 

。 运行 Sun RPC(Sun Remote Procedure Call,Sun 远程 过 程 调 用 ) 的 网 络 设备 。 

。 基于 IP 地 址 认证 的 任何 网 络 服务 。 

。 提供 R 系列 服务 的 计算 机 ,如 提供 rlogin .rsh rcp 等 服务 的 计算 机 。 

其 他 没有 这 类 服务 的 系统 所 受到 的 IP 欺骗 攻击 虽然 也 有 ,但 要 少 得 多 。 

(2) 使 被 冒充 的 主机 无 法 响应 目标 主机 的 会 话 。 

当 X 要 对 本 实施 IP 源 地 址 欺骗 攻击 时 ,就 要 假冒 SC 称 为 被 利用 者 ) 与 目标 主机 工 进 
行 通信 。 但 是 ,X 并 不 是 真正 的 S, 而 本 只 向 S 回 送 应 答 包 。 这 样 ,就 有 可 能 使 S 对 全 的 报 
文 产生 反应 ,而 将 X 暴露 。X 避免 自己 暴露 的 办 法 是 让 S 瘫痪 ,使 之 无 法 响应 目标 主机 全 
的 数据 包 。 

使 S 瘫痪 的 办 法 是 对 其 实施 拒绝 服务 攻击 ,例如 通过 SYN Flood 攻击 使 之 连接 请 求 被 
占 满 ,暂时 无 法 处 理 进入 的 其 他 连接 请 求 。 通 常 .黑客 会 用 一 个 虚假 的 IP 地 址 (可 能 该 合法 
IP 地 址 的 服务 器 没有 开机 ) 向 目标 主机 TCP 端口 发 送 大 量 的 SYN 请 求 。 受 攻击 的 服务 器 
则 会 向 该 虚假 的 IP 地 址 发 送 响 应 。 自 然 得 不 到 回应 ,得 到 的 是 该 服务 器 不 可 到 达 的 消息 。 
而 目标 主机 的 TCP 会 认为 这 是 暂时 的 不 通 , 于 是 继续 尝试 连接 ,直到 确信 无 法 连接 。 不 过 
这 已 经 为 黑客 进行 攻击 提供 了 充足 的 时 间 。 

(3) 精确 地 猜测 来 自 目标 请 求 的 正确 序列 数 。 

为 了 使 自己 的 攻击 不 露馅 的 另 一 个 措施 是 取得 被 攻击 目标 工 主 机 的 信任 。 由 于 
TCP 是 可 靠 传输 协议 ,每 台 主 机 要 对 自己 发 送 的 所 有 字 节 分 配 序 列 编号 , 供 接 收 端 确认 并 
据 此 进行 报 文 装 配 。 在 通过 三 次 握手 建立 TCP 连接 的 过 程 中 ,客户 端 首先 要 向 服务 器 发 送 
序列 号 zx, 服务 器 收 到 后 通过 确认 要 向 客户 端 送 回 期 待 的 序列 号 (x 十 1) 和 自己 的 序列 号 。 
由 于 序列 号 的 存在 ,给 IP 欺骗 攻击 增加 了 不 少 难 度 , 要 求 攻 击 者 X 必须 能 够 精确 地 猜测 出 
来 自 目 标 机 的 序列 号 ,否则 也 会 露馅 。 

那么 ,如 何 精确 地 猜测 来 自 目 标 机 的 序列 号 呢 ? 这 就 须要 知道 TCP 序列 号 的 编排 
规律 。 

初始 的 TCP 序列 号 是 由 tcp_init 函数 确定 的 ,是 一 个 随机 数 ,并 且 它 每 秒 钟 增 加 
128 000。 这 表明 ,在 没有 连接 的 情况 下 ,TCP 的 序列 号 每 9. 32 小 时 会 复位 一 次 ;而 有 连接 
时 ,每 次 连接 把 TCP 序列 号 增加 64 000。 

随机 的 初始 序列 号 的 产生 也 是 有 一 定 规 律 的 。 在 Berkeley 系统 中 ,初始 序列 号 由 一 个 
常量 每 秒 钟 加 1 产生 。 
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所 以 ,TCP 序列 号 的 估计 也 并 非 绝 对 不 可 能 。 但 是 , 除 此 之 外 ,攻击 者 还 需要 估计 他 的 
服务 器 与 可 信服 务 器 之 间 的 往返 时 间 (CRTT)。RTT 一 般 是 通过 多 次 统计 平均 计算 出 来 
的 。 在 没有 连接 的 情况 下 ,TCP 序列 号 为 128000。RTT; 如 果 目 标 服 务 器 刚刚 建立 过 一 个 
连接 ,就 还 要 加 上 64 000 。 

上 述 分 析 是 一 种 理论 上 的 分 析 。 黑 客 通常 的 做 法 是 通过 对 目标 主机 的 合法 连接 来 获得 
目标 主机 发 送 IP 数据 包 的 序列 记录 。 上 有 具体 步骤 如 下 : 

QO@ 请 求 连接 目标 主机 。 

@ 目标 主机 送 回 带 序 列 号 的 回应 

@ 记录 序列 号 并 断 开 连接 。 

在 一 般 情况 下 ,通过 对 所 记录 的 序列 号 的 分 析 , 可 以 猜测 出 认证 要 求 序列 号 的 规则 。 

(4) 冒充 受信 主机 连接 到 目标 主机 。 

(5) 根据 猜 出 的 序列 号 ,向 目标 主机 发 送 回 应 IP 包 。 

(6) 进行 系列 会 话 。 


2. IP 源 地 址 欺骗 的 防范 


IP 源 地 址 欺骗 攻击 比较 普遍 ,而 且 产 生 的 危害 性 很 大 。 下 面 是 IP 欺骗 的 一 些 预 防 
策略 : 

(1) 放弃 基于 IP 地址 的 信任 策略 。IP 欺骗 是 基于 IP 地 址 信任 的 。 而 IP 地 址 很 容易 
伪造 。 因 此 ,阻止 这 类 攻击 的 一 种 非常 简单 的 方法 是 放弃 以 IP 地 址 为 基础 的 验证 。 

(2) 使 用 随机 化 的 初始 序列 号 。 序 列 号 是 接收 方 TCP 进行 合法 检查 的 一 个 重要 依据 。 
黑客 攻击 能 够 得 偿 的 一 个 重要 因素 就 是 序列 号 有 一 定 的 选择 和 增加 规律 。 堵 塞 这 一 漏洞 的 
方法 就 是 让 黑客 无 法 计算 或 猜测 出 序列 号 。Bellovin 提出 了 一 个 公式 : 

ISN=M+F(localhost,localport,remotehost,remoteport) 
其 中 ,M 为 4 微 秒 定 时 器 ,下 为 加 密 Hash 函数 .localhost 为 本 地 主机 ， se 为 本 地 端 
口 ,remotehost 为 远方 主机 ,remoteport 为 远方 端口 。Bellovin 建议 下 是 一 合 连接 标 识 
符 和 特殊 矢量 (随机 数 , 基 于 启动 试卷 的 密码 ) 的 Hash 函数 ， A 
或 猜测 得 出 。 

(3) 在 路 由 器 中 加 上 一 些 附 加 和 条件。 这些 条 件 包 括 : 不 允许 声称 是 内 部 包 的 外 部 包 
( 源 地 址 和 目标 地 址 都 是 本 地 域 地 址 ) 进 入 ,以 防止 外 部 攻击 者 假冒 内 部 主机 的 IP 欺骗 ; 禁 
止 带 有 内 部 资源 地 址 的 内 部 包 出 去 ,以 防止 内 部 用 户 对 外 部 站 点 的 攻击 。 

(4) 配置 服务 器 ,降低 IP 欺骗 的 可 能 : 分 析 自 己 的 服务 器 ,看 哪些 服务 容易 遭受 IP 坎 
骗 攻 击 ,并 考虑 这 些 服务 有 无 保留 的 必要 。 

(5) 使 用 防火 墙 和 其 他 抗 IP 欺骗 的 产品 。 例 如 ,防火 墙 决 定 是 否 允 许 外 部 的 IP 数据 
包 进 入 局 域 网 ,对 来 自 外 部 的 IP 数据 包 进 行 检验 。 假 如 来 自 外 部 的 数据 包 声 称 有 内 部 地 
址 , 它 一 定 是 欺骗 包 。 如 果 数 据 包 的 IP 地 址 不 是 防火 墙 内 的 任何 子 网 , 它 就 不 能 离开 防 
火 墙 。 
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1.6.3 路 由 欺骗 


在 TCP/IP 网 络 中 ,IP 包 的 传输 路 径 完全 由 路 由 表决 定 。 因 此 ,如 果 攻 击 者 能 控制 路 
由 表 , 则 可 以 控制 自己 发 送 的 IP 包 到 达 希 望 的 目标 ,进行 监听 或 其 他 攻击 。 下 面 介 绍 两 种 
路 由 欺骗 方法 。 


1. IP 源 路 由 欺骗 


IP 报 文 首部 具有 “ 源 站 选 路 ”可 选项 ,可 以 指定 到 达 目 的 站 点 的 路 由 。 在 正常 情况 下 ， 
若 目 的 主机 有 应 答 或 其 他 信息 回 送 源 站 点 ,就 可 以 按照 源 站 所 选 路 由 逆向 路 径 回复 。 

假定 有 两 台 主 机 SC( 设 IP 地 址 为 201. 15. 192. 11) 和 T 工 ( 设 IP 地 址 为 201. 15. 192. 22 ) ， 
之 间 已 经 建立 了 信任 关系 。 若 有 攻击 者 X 想 冒 充 S 从 本 处 获得 某 种 服务 , 则 它 可 以 按照 下 
面 的 步骤 进行 。 

(1) 攻击 者 X 进行 IP 地 址 欺骗 ,将 自己 发 往 工 的 源 地 址 修改 为 201. 15. 192. 11, 目 标 
地 址 写 为 201. 15. 192. 22 。 

(2) 将 路 由 表 写 为 X 到 全 的 路 由 (例如 XX 所 在 局 域 网 的 路 由 器 Gx)。 

这 样 ,T 要 发 送 到 S 的 应 答 ,实际 上 按照 X 指定 的 路 由 的 逆向 路 径 , 送 回 到 X 所 在 局 域 
网 的 路 由 器 Gx。X 通过 监听 收取 该 数据 包 。 当 然 , 要 求 路 由 器 Gx 所 在 的 局 域 网 中 不 包 
括 S。 

防范 IP 源 路 由 欺骗 的 主要 方法 是 关闭 主机 和 路 由 器 上 的 源 路 由 选项 。 此 外 ,也 可 以 通 
过 路 由 器 配置 ,阻挡 那些 来 自 外 部 却 声称 是 内 部 主机 的 报 文 。 


2. RIP 路 由 欺骗 


RIP(Routing Information Protocol ,路 由 信息 协议 ) 是 一 种 选择 算法 的 内 部 或 域内 路 由 
选择 协议 。 距 离 向 量 算法 (DVA) 的 路 由 选 定 原则 是 ,到 一 个 目的 站 的 最 少 “ 路 由 中 继 ” 
Chop , 跳 ) 数 或 到 那个 目的 站 路 径 的 费用 。 为 适应 网 络 的 变化 ,要 求 域内 路 由 器 之 间 动 态 地 
(每 30s) 交 换 信息 ,内 容 包 括 每 个 路 由 器 可 以 到 达 哪 些 网 络 , 这 些 网 络 有 多 远 等 。 信 息 交 换 
用 IP 数据 包 进 行 , 并 用 UDP 作为 传输 协议 。 

这 样 , 若 攻击 者 在 网 上 发 布 假 的 路 由 信息 ,声称 路 由 器 Gx 可 以 使 工 发 往 S 的 数据 包 最 
快 到 达 ,再 通过 ICMP 重 定向 来 欺骗 服务 器 路 由 器 和 主机 ,将 工 到 S 的 正常 路 由 器 标志 为 
失效 ,就 可 以 诱 使 工 将 数据 包 发 到 攻击 者 控制 的 路 由 器 Gx 。 


1.6.4 ”TCP 会 话 劫持 


会 话 支持 (session hijack) 就 是 攻击 者 作为 第 三 者 ,隐秘 地 加 入 到 他 人 的 会 话 中 ,发 送 恶 
意 数 据 , 或 者 对 他 人 的 会 话 进行 监听 ,其 至 接替 其 中 一 方 与 男 一 方 会 话 。 在 网 络 中 进行 会 话 
支持 往往 是 利用 了 通信 协议 的 漏洞 ,通过 嗅 探 与 欺骗 两 种 手段 结合 进行 。 


1. TCP 会 话 支持 的 基本 原理 


(1) TCP 使 用 端 到 端的 连接 , 即 TCP 用 ( 源 全 . 源 TCP 端口 号 ,目的 IP, 目 的 TCP 端 
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号 ) 来 唯一 标识 每 一 条 已 经 建立 连接 的 TCP 链 路 。 

(2) TCP 在 进行 数据 传输 时 ,其 首部 有 两 个 非常 重要 的 字段 : 序号 (seq) 和 确认 序号 
(ackseq)。 

。 序号 指出 了 本 报 文中 传送 的 数据 在 发 送 主机 所 要 传送 的 整个 数据 流 中 的 顺序 号 。 

。 确认 序号 指出 了 发 送 本 报 文 的 主机 希望 接收 的 对 方 主机 中 下 一 个 八 位 组 的 顺序 号 。 

对 于 一 台 主 机 来 说 ,其 收发 的 两 个 相 邻 TCP 报 文 之 间 的 序号 和 确认 序号 与 所 携带 
TCP 数据 净 荷 Cpayload) 的 多 少 有 数值 上 的 关系 : 它 所 要 发 出 的 报 文 中 的 seq 值 应 等 于 它 
所 刚 收 到 的 报 文中 的 ackseq 的 值 ,而 它 所 要 发 送 的 报 文中 ackseq 的 值 应 为 它 所 收 到 的 报 文 
中 seq 的 值 加 上 该 报 文中 所 发 送 的 TCP 净 荷 的 长 度 。 

(3) 在 TCP 连接 中 ,只 是 刚 开始 连接 时 进行 一 次 IP 地 址 的 验证 ,在 连接 过 程 中 TCP 
应 用 程序 只 跟踪 序列 号 ,而 不 进行 IP 地 址 验证 。 因 此 ,一 旦 同一 网 段 上 的 入 侵 者 获悉 目标 
主机 的 序列 号 规律 ,就 可 以 假冒 该 目标 主机 的 受信 机 与 该 目标 主机 进行 通信 ,把 原来 目标 主 
机 与 其 受信 机 之 间 的 会 话 劫持 过 去 。 


2. TCP 会 话 支持 过 程 


会 话 支持 一 般 采 取 如 下 3 步 进行 。 

(1) 找 一 个 同 网 段 的 活动 会 话 。 

会 话 劫持 的 第 一 步 要求 攻 击 者 找 一 个 位 于 同一 网 段 的 活动 会 话 。 这 要 求 攻击 者 嗅 探 在 
子 网 上 的 通信 。 攻 击 者 将 寻找 诸如 FTP 之 类 的 一 个 已 经 建立 起 来 的 TCP 会 话 。 在 共享 网 
络 中 ,查找 这 种 会 话 是 很 容易 的 。 在 交换 网 络 中 则 需要 攻击 ARP 协议 。 

(2) 猜测 正确 的 序列 号 码 。 

进行 TCP 传输 时 ,传输 的 数据 的 每 一 个 字 节 必须 有 一 个 序列 号 码 。 这 个 序列 号 用 来 保 
持 跟 踪 数 据 和 提供 可 靠 性 。 最 初 的 序列 号 码 是 在 TCP 协议 握手 的 第 一 步 生 成 的 。 目 的 地 
系统 使 用 这 个 值 确认 发 出 的 字 节 。 这 个 序列 号 字段 长 度 有 32B。 这 就 意味 着 可 能 有 大 约 
4294 967 295 个 序列 号 。 

(3) 把 合法 的 用 户 断 开 。 

一 旦 确定 了 序列 号 ,攻击 者 就 能 要 把 合法 用 户 断 开 , 以 免 露 出 破绽 。 断 开 合 法 用 户 可 以 
采用 拒绝 服务 攻击 \ 源 路 由 欺骗 或 者 向 用 户 发 送 一 个 重 置 命令 。 

如 果 这 些 步 又 取得 成 功 ,攻击 者 现在 就 可 以 控制 这 个 会 话 。 只 要 这 个 会 话 能 够 保持 下 
去 ,攻击 者 就 能 够 通过 身份 验证 进行 访问 。 


3. 会 话 劫持 攻击 工具 


1) Juggernaut 


Juggernaut 是 由 Mike Schiffman 开发 的 一 个 可 以 用 来 进行 TCP 会 话 攻 击 的 网 络 监 听 

器 , 它 是 一 个 开放 的 自由 软件 。 可 以 运行 于 Linux 操作 系统 的 终端 机 上 ,安装 和 运行 都 很 简 

单 。 可 以 设置 值 、 暗 号 或 标志 这 3 种 不 同 的 方式 来 通知 Juggernaut 程序 是 否 对 所 有 的 网 络 

流量 进行 观察 。 例 如 ,一 个 典型 的 标记 就 是 登录 暗号。 无 论 何 时 Juggernaut 发 现 这 个 暗 
“6 < 


号 ,就 会 捕获 会 话 , 这 意味 着 黑客 可 以 利用 捕获 到 的 用 户 密码 再 次 进入 系统 。 

27》 Hunt 

Hunt 是 Kra 开发 的 一 个 用 来 监听 、 截 取 和 动 持 网 络 上 的 活动 会 话 的 程序 。 

3) TTY Watcher 

TTY Watcher 是 一 个 免费 的 程序 ,允许 人 们 监视 并 且 劫 持 一 台 单一 主机 上 的 连接 。 

4) IP Watcher 

IP Watcher 是 一 个 商用 的 会 话 支持 工具 , 它 允 许 监视 会 话 并 且 获 得 积极 的 反 会 话 动 
持 方法 。 它 基于 TTY Watcher, 此 外 还 提供 一 些 额外 的 功能 ,IP Watcher 可 以 监视 整个 
网 络 。 
1.6.5 DNS 欺骗 


DNS(Domain Name System ,域名 系统 ) 是 一 个 将 主机 域名 和 IP 地 址 互相 映射 的 数据 
库 系 统 , 它 的 安全 性 对 于 互联 网 的 安全 有 着 举足轻重 的 影响 。 但 是 由 于 DNS Protocol 在 自 
身 设 计 方 面 存在 缺陷 ,安全 保护 和 认证 机 制 不 健全 ,造成 DNS 自身 存在 较 多 安全 隐患 ,导致 
其 很 容易 遭受 攻击 。DNS 欺骗 (DNS spoofing) 就 是 利用 DNS 漏洞 进行 的 攻击 行为 。 


1. DNS 的 服务 过 程 


设 有 如 图 1. 38 所 示 的 3 台 主 机 。 其 中 ,S 向 A 提供 DNS 服务 ,A 想 要 访问 BC(www. 
ccc. com) 。 这 个 过 程 如 下 。 


S 其 他 DNS 
S(DNS 服 务 器 ) 。 向 其 他 DNS 请 求 其 他 服务 


全 结果 (201.15.192.03) 


4 SN 加 向 B 发 出 连接 
201.15.192.01 www.ccc.com(201.15.192.03) 


图 1.38 DNS 工作 过 程 示 意图 


O@A 向 S 发 一 个 DNS 查询 请 求 ,要 求 S 告诉 www. ccc. com 的 IP 地 址 ,以 便 与 之 
通信 。 

@ S 查询 自己 的 DNS 数据 库 , 若 找 不 到 www. ccc. com 的 IP 地 址 , 即 向 其 他 DNS 服 
务 器 求援 , 逐 级 递交 DNS 请 求 。 

@ 某 个 DNS 服务 器 查 到 了 www. ccc. com 的 IP 地 址 ,向 S 返回 结果 。S 将 这 个 结果 
保存 在 自己 的 缓存 中 。 

@ S 把 结果 告诉 A。 

@@ A 得 到 了 B 的 地 址 ,就 可 以 访问 B 了 (如 向 BB 发 出 连接 请 求 )。 

在 上 述 过 程 中 ,如 果 S 在 一 定 的 时 间 内 不 能 向 A 返回 要 查找 的 IP 地 址 ,就 会 向 A 返回 
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主机 名 不 存在 的 错误 信息 。 

注意 ,DNS 客户 端的 查询 请 求 和 DNS 服务 器 的 应 答 数据 包 是 依靠 DNS 报 文 的 ID 标 
识 来 相互 对 应 的 。 这 个 ID 是 随机 产生 的 。 在 进行 域名 解析 时 ,DNS 客户 端 首 先 用 特定 的 
ID 号 向 DNS 服务 器 发 送 域名 解析 数据 包 。DNS 服务 器 找到 结果 后 使 用 此 ID 给 客户 端 发 
送 应 答 数 据 包 。DNS 客户 端 接收 到 应 答 包 后 ,将 接收 到 的 ID 与 请 求 包 的 ID 对 比 , 如 果 相 
同 则 说 明 接 收 到 的 数据 包 是 自己 所 需要 的 ,如 果 不 同 就 丢弃 此 应 答 包 。 


2. DNS 欺骗 原理 


DNS 有 两 个 重要 特性 : 

(1) DNS 对 于 自己 无 法 解析 的 域名 ,会 自动 向 其 他 DNS 服务 器 查询 。 

(2) 为 提高 效率 ,DNS 会 将 所 有 已 经 查询 到 的 结果 存 人 高 速 缓存 (cache) 。 

正 是 这 两 个 特点 ,使 得 DNS 欺骗 (DNS spoofing) 成 为 可 能 。 实 施 DNS 欺骗 的 基本 思 
路 是 让 DNS 服务 器 的 高 速 缓存 中 存 有 错误 的 IP 地 址 , 即 在 DNS 高 速 缓存 中 放 一 个 伪造 的 
记录 。 为 此 ,攻击 者 需要 做 两 件 事 : 

(1) 先 伪 造 一 个 用 户 的 DNS 请 求 。 

(2) 再 伪造 一 个 查询 应 答 。 

但 是 ,在 DNS 包 中 还 有 一 个 16 位 的 查询 标识 符 (Query ID), 它 将 被 复制 到 DNS 服务 
器 的 相应 应 答 中 ,在 多 个 查询 未 完成 时 ,用 于 区 分 响应 。 所 以 ,回答 信息 只 有 Query ID 和 
IP 都 吻合 才能 被 DNS 服务 器 接收 。 因 此 ,进行 DNS 欺骗 攻击 ,还 须 精确 地 猜测 出 Query 
ID。 由 于 Query ID 每 次 加 1, 只 要 通过 第 一 次 向 将 要 欺骗 的 DNS 服务 器 发 一 个 查询 包 并 
监听 其 Query ID 值 ,随后 再 发 送 设计 好 的 应 答 包 , 包 内 的 Query ID 就 是 要 预测 的 
Query ID。 


3. DNS 欺骗 过 程 


下 面 结合 图 1. 38 ,介绍 DNS 欺骗 的 一 次 过 程 。 

(1) 入 侵 者 先 向 SCDNS 服务 器 ) 提 交 查 询 www. ccc. com 的 IP 地 址 的 请 求 。 

(2) S 向 外 递交 查询 请 求 。 

(3) 入 侵 者 立即 伪造 一 个 应 答 包 ,告诉 www. ccc. com 的 IP 地 址 是 201. 15. 192. 04( 往 
往 是 入 侵 者 的 IP 地 址 )。 

(4) 查询 应 答 被 SCDNS 服务 器 ) 记 录 到 高 速 缓存 中 。 

(5) 当 人 A 向 S 提 交 查 询 www. ccc. com 的 IP 地 址 请 求 时 ,S 将 201. 15. 192.04 告诉 A。 


4. DNS 欺骗 的 局 限 性 


DNS 欺骗 是 有 如 下 的 局 限 性 : 
(1) 入侵 者 不 能 替换 DNS 高 速 缓存 中 已 经 存在 的 记录 。 
(2) 高 速 缓存 中 的 记录 具有 一 定 的 生存 期 ,过 期 就 会 被 刷新 。 
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1.6.6 Web 欺骗 与 钓鱼 网 站 


1. Web 欺骗 的 作用 


Web 欺骗 的 攻击 者 会 创建 整个 WWW 世界 的 影像 副本 。 用 户 进 入 该 影像 Web 的 人 
口 ,实际 是 进入 到 攻击 者 的 Web 服务 器 。 此 时 ,攻击 者 就 可 以 肆意 实施 如 下 攻击 : 
。 可 将 用 户 的 一 切 活动 置 于 攻击 者 的 监控 之 下 .攻击 者 就 会 获得 用 户 ID、 密 码 、 浏 览 
过 的 网 页 和 停留 的 时 间 等 。 
。 能 以 受 攻击 者 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 Web 服务 器 。 
。 以 任何 Web 服务 器 的 名 义 发 送 数 据 给 受 攻击 者 。 
通过 这 些 活动 ,攻击 者 可 以 实施 诈骗 进行 获 利 。 典 型 的 例子 是 假冒 金融 机 构 偷 盗 客户 
的 信用 卡 信息 。 
钓鱼 网 站 (phishing, 是 phone 与 fishing 的 组 合 ) 就 是 Web 欺骗 技术 的 应 用 。 随 着 电子 
商务 的 发 展 ,钓鱼 网 站 一 直 处 于 快速 蔓延 和 持续 增长 势 态 。 如 图 1. 39 所 示 , 金 山 网 络 在 
《2013 一 2014 中 国 互联 网 安全 研究 报告 ) 中 提供 的 数据 表明 ,2013 年 金山 毒霸 拦截 的 钓鱼 网 
站 数量 超过 了 240 万 个 ,与 2011 年 .2012 年 相 比 ,环比 分 别 增长 340% 和 36. 7%。 每 日 新 
增 拦 截 钓鱼 网 站 数量 超过 6400 个 。 
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360 安全 中 心 将 这 些 钓鱼 网 站 分 为 如 下 7 种 类 型 。 

1) 设置 中 奖 骗 局 

这 类 网 站 冒充 游戏 网 站 、QQ、CCTYV 等 知名 栏目 、 门 户 网 站 等 发 布 中 奖 、 奖 励 信 息 , 用 
与 官方 网 站 极为 相似 的 页 面 骗取 访问 者 的 RQ、 游戏 账号 密码 ,或 者 骗取 中 奖 者 支付 领取 奖 
品 的 相关 费用 。 

2) 各 种 预测 网 站 

这 些 网 站 会 利用 彩民 梦想 中 大 奖 的 心理 ,进行 各 种 收费 预测 ,网 站 上 会 列 出 很 多 预测 准 
确 的 记录 来 骗取 彩民 信任 ,吸引 彩民 加 入 会 员 , 购 买 所 谓 专 家 的 预测 资料 ,大 部 分 网 站 还 会 
打出 中 国 福利 彩票 的 官方 字样 ,甚至 还 有 不 少 是 涉及 六 合 彩 、 赌 球 方面 的 网 站 。 彩 民 如 果 相 
信 了 他 们 所 谓 的 预测 号 码 、 操 纵 比 赛 .预测 比赛 结果 的 骗局 ,往往 都 会 损失 惨重 。 
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3) 黑马 股票 的 骗局 

这 些 网 站 会 使 用 知名 证 券 公 司 的 名 称 , 或 者 干脆 使 用 一 些 不 存在 的 证 券 公 司 名 称 来 构 
建 网 站 ,网 站 以 保证 高 额 利润 为 诱 钮 ,向 股民 推荐 涨停 股 和 黑马 股 ,向 被 骗 股 民 收 取 高 额 会 
员 费 和 保密 费 , 甚 至 直接 让 股民 投资 给 他 们 做 代理 炒股 。 受骗 股 民 往 往 会 损失 几 万 或 数 十 
开元。 

4) 虚假 购物 网 站 

这 类 网 站 会 在 网 民 购 物 时 出 现在 买 家 或 卖家 的 QQ/ 旺 旺 上 ,买卖 双方 经 常 发 送 各 种 与 
商品 有 关 的 链接 ,而 钓鱼 网 站 就 会 摊 杂 其 中 .页面 通常 会 模仿 淘宝 、 拍 拍 、 支 付 宝 、 财 付 通 等 
与 购物 有 关 的 网 站 ,骗取 账号 密码 或 钱财 。 

另外 还 有 一 些 用 极 低 价格 来 吸引 顾客 的 购物 网 站 ,如 钻石 手表、. 手 机、 充值 卡 ,也 是 涉 
及 购物 欺诈 的 一 种 。 

5) 仿冒 官方 网 站 登录 

无 论 在 网 络 上 做 什么 ,最 常 遇 到 的 就 是 需要 输入 注册 账号 ,输入 用 户 名 、 密 码 。 各 种 模 
仿 官方 网 站 登录 的 钓鱼 网 站 ,仿真 度 非常 高 , 和 官方 网 站 几乎 一 模 一 样 , IM (Instant 
Messenger, 即 时 通信 )、 网 络 游戏 .邮箱 .购物 网 站 、 银 行 ,几乎 只 要 是 可 以 登录 的 网 站 ,就 有 
相应 的 钓鱼 网 站 。 

6) 仿冒 的 医疗 .药品 相关 网 站 

近年 来 ,销售 假 药 .劣质 药品 .假冒 医疗 机 构 的 现象 也 时 有 发 生 , 这 类 网 站 也 是 钓鱼 欺诈 
的 重要 类 型 。 这 些 网 站 的 危害 不 止 是 骗 人 钱财 ,更 重要 的 是 会 影响 人 的 健康 。 

7) 假冒 的 下 载 网 站 

这 类 网 站 往往 有 着 和 官方 下 载 页 面相 似 的 页 面 , 但 是 却 提供 含有 木马 的 下 载 链接 ,这 属 
于 用 钓鱼 的 方式 来 推广 木马 。 


2. Web 欺骗 的 基本 原理 


Web 欺骗 基于 如 下 3 个 基本 原理 。 

(1) 目前 注册 一 个 域名 没有 任何 要 求 。 利 用 这 一 点 ,攻击 者 会 抢先 或 特别 设计 注册 一 
个 有 欺骗 性 的 站 点 。 

(2) Cookie 欺骗 。 在 浏览 器 /服务 器 系统 中 ,Cookie 指 由 服务 器 创建 的 数据 文件 ,这 个 
文件 会 记录 客户 在 浏览 器 中 所 输入 的 任何 文字 和 选择 ,包括 用 户 ID、 密 码 、 浏 览 过 的 网 页 、 
选择 的 商品 等 。 这 些 数据 被 存放 到 用 户 计 算 机 硬盘 的 一 个 小 的 文件 (C:\Documents and 
Settings\ 用 户 名 \Cookies) 中 。 当 该 用 户 再 光临 同一 个 网 站 时 , Web 服务 器 会 先 看 看 有 没有 
它 上 次 留 下 的 Cookie 资料 ,有 的 话 ,就 会 依据 Cookie 里 的 内 容 来 判断 使 用 者 ,为 该 用 户 送 
出 特定 的 网 页 内 容 。 它 最 早 是 网 景 公 司 的 前 雇员 Lou Montulli 在 1993 年 3 月 发 明 的 。 显 
然 ,获取 客户 Cookie 文件 ,就 可 以 获取 客户 的 许多 敏感 信息 。 另 外 ,Cookie 可 以 由 服务 器 
创建 和 修改 ,所 以 攻击 者 也 可 以 修改 用 户 的 Cookie 内 容 。Cookie 欺骗 就 是 在 只 对 用 户 进 
行 Cookie 验证 的 系统 中 ,通过 伪造 的 Cookie 获得 登录 权限 。 
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(3) Session 欺骗 。 在 Web 中 ,Session 是 用 来 记录 浏览 器 端 数据 (如 用 户 ID 等 敏感 数 
据 ) 的 对 象 。 这 些 数据 存放 在 服务 器 端 。 当 一 个 访问 者 首次 访问 一 个 网 页 时 ,服务 器 就 会 为 
其 创建 一 个 新 的 、 独 立 的 Session 对 象 ,为 该 次 会 话 分 配 一 个 会 话 标识 ID, 并 把 该 次 会 话 的 
会 话 ID 的 特殊 加 密 版 本 的 Cookie 发 送 给 客户 端 。 当 浏览 器 关闭 时 ,这 个 会 话 ID 即 消失 。 
所 以 Session 生命 期 仅 为 一 次 会 话 的 时 间 ,一 般 为 几 十 分 钟 。Session 欺骗 就 是 在 只 对 用 户 
进行 Session 验证 的 系统 中 通过 伪造 的 Session 获得 登录 权限 。 


3. Web 欺骗 的 技巧 


(1) 改写 URL。 

首先 ,攻击 者 改写 Web 页 中 的 所 有 URL 地 址 ,这 样 它们 指向 了 攻击 者 的 Web 服务 器 
而 不 是 真正 的 Web 服务 器 。 

(2) 表单 欺骗 。 

在 URL 改写 的 基础 上 ,表单 欺骗 将 会 进行 得 非常 自然 。 当 受 攻击 者 提交 表单 后 ,所 
提交 的 数据 进入 了 攻击 者 的 服务 器 。 攻 击 者 的 服务 器 能 够 观察 甚至 修改 所 提交 的 数据 。 
同样 ,在 得 到 真正 的 服务 器 返回 信息 后 ,攻击 者 在 将 其 向 受 攻 击 者 返回 以 前 也 可 以 为 所 

(3) 设计 攻击 的 导 火 索 。 

为 了 开始 攻击 ,攻击 者 必须 以 某 种 方式 引诱 受 攻击 者 进入 攻击 者 所 创造 的 错误 的 
Web。 黑 客 往往 使 用 下 面 若 干 种 方法 。 

。 把 错误 的 Web 链接 到 一 个 热门 Web 站 点 上 。 

。 如 果 受 攻击 者 使 用 基于 Web 的 邮件 ,可 以 将 它 指向 错误 的 Web。 

。 创建 错误 的 Web 索引 ,指示 给 搜索 引擎 

(4) 完善 攻击 。 

前 面 描述 的 攻击 相当 有 效 , 但 是 它 还 不 是 十 分 完美 的 。 黑 客 往往 还 要 创造 一 个 可 信 的 
环境 ,包括 各 类 图 标 、 文 字 、 链 接 等 ,提供 给 受 攻 击 者 各 种 各 样 的 可 信和 的 暗示 ,以 隐藏 一 切 
尾巴 。 

(5) 状态 信息 

状态 信 息 显示 在 浏览 器 底 部 。Web 欺骗 中 涉及 两 类 信息 : 

。 当 鼠 标 放置 在 Web 链接 上 时 ,连接 状态 显示 链接 所 指 的 URL 地 址 。 

。 当 Web 连接 成 功 时 ,连接 状态 将 显示 所 连接 的 服务 器 名 称 。 

文 两 项 信息 都 容易 使 攻击 者 露出 尾巴 一 一 URL 或 服务 器 名 称 。 为 此 ,攻击 者 往往 通过 
JavaScript 编程 来 弥补 这 两 项 不 足 。 由 于 JavaScript 能 够 对 连接 状态 进行 写 操作 ,而 且 可 以 
将 JavaScript 操作 与 特定 事件 绑 定 在 一 起 ,所 以 :攻击 者 完全 可 以 将 改写 的 URL 状态 恢复 
为 改写 前 的 状态 。 这 样 Web 欺骗 将 更 为 可 信 。 


4. 钓鱼 网 站 的 推广 方式 


(1) 即时 通信 和 推广。 旺旺 、MSN 和 QQ 都 属于 即时 通信 工具 ,骗子 会 利用 即时 工具 跟 
员 沟 通 , 经 常 以 下 列 迷 惑 性 情况 直接 向 会 员 发 送 钓 鱼 链接 : 
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。 专柜 和 银行 联合 搞 特价 活动 。 

。 支付宝 被 监管 。 

。 宝贝 拍 不 了 ,被 监管 。 

。 商品 出 现下 架 等 。 

(2) 在 论坛 .博客 . 微 博 .问答 类 网 站 等 发 布 帖子 链接 钓鱼 网 站 ,往往 会 用 “我 知道 一 个 
特别 好 的 网 站 ”等 推荐 方式 。 

(3) 通过 手机 短信 和 E-mail 等 批量 发 布 链接 ,如 冒充 “银行 密码 重 置 邮件 ”, 冒 充 颁 奖 
等 欺骗 用 户 点 击 进入 钓鱼 网 站 。 

(4) 在 网 站 上 制作 仿冒 QQ、 阿 里 旺旺 等 知名 软件 的 弹 窗 ,吸引 用户 进入 钓鱼 网 站 。 

(5) 在 搜索 引擎 .中 小 网 站 投放 广告 ,吸引 用 户 点 击 钓 鱼网 站 链接 ,此 种 手段 多 被 假 医 
药 网 站 、 假 机 票 网 站 所 采用 。 

(6) 使 用 恶意 导航 网 站 恶意 下 载 网 站 弹出 仿真 悬浮 窗口 ,点 击 后 进入 钓鱼 网 站 。 

(7) 利用 与 正规 网 站 极为 相似 的 域名 ,混淆 视听 ,使 用 户 难 判 真 假 。 表 1. 6 为 采用 混淆 
视听 方法 的 几 个 典型 钓鱼 网 站 。 


表 1.6 几 个 采用 混淆 视听 方法 的 钓鱼 网 站 


假冒 网 站 域名 正规 网 站 域名 攻击 方式 
www. 1cbc. com. cn www. icbc. com. cn( 中 国 工商 银行 ) 金融 诈骗 
www. lenovo. com www. lenovo. com( 联 想 公司 ) 假冒 
www. chsic. com. cn www. chsi. com. cn( 中 国 高 等 教育 学 生 信 息 网 ) 发 布 虚假 学 历 证 书信 息 
www. cnbank-yl. com www. chinaunionpay. com( 中 国 银 联 ) 金融 诈骗 
www. chinacharity. cn. net | www. chinacharity. cn( 中 华 慈 善 总 会 ) 利用 废弃 域名 骗取 善 款 


金山 网 络 2013 年 发 布 的 数据 表明 ,访问 到 钓鱼 网 站 的 4 个 主要 渠道 是 : 搜索 引擎 
(58.7%)、QQ 等 聊天 工具 (30. 4%)、 和 手机 短信 (10.8%) 和 网 页 弹 窗 广 告 (0. 1%)。 


5. 钓鱼 网 站 的 自我 保护 手段 


(1) 境外 注册 域名 ,逃避 网 络 监管 。 

(2) 连续 转账 操作 ,迅速 转移 网 银 款项 

6. 钓鱼 网 站 的 防范 

1) 查验 “可 信和 网 站 ” 

通过 第 三 方 网 站 身份 诚信 认证 辨别 网 站 的 真实 性 。 不 少 网 站 已 在 网 站 首页 安装 了 第 三 
方 网 站 身份 诚信 认证 “可 信和 网 站 ”, 可 帮助 网 民 判 断 网 站 的 真实 性 。“ 可 信和 网 站 ”验证 服 
务 通过 对 企业 域名 注册 信息 、 网 站 信息 和 企业 工商 登记 信息 进行 严格 交互 审核 来 验证 网 站 
真实 身份 ,通过 认证 后 ,企业 网 站 就 进入 中 国 互联 网 络 信息 中 心 (CNNIC) 运 行 的 国家 最 高 
目录 数据 库 中 的 “可 信和 网 站 ” 子 数 据 库 中 ,从 而 全 面 提升 企业 网 站 的 诚信 级 别 , 网 民 可 通过 点 
击 网 站 页 面 底部 的 “可 信和 网 站 ”标识 确认 网 站 的 真实 身份 。 网 民 在 网 络 交 易 时 应 养 成 查看 网 
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站 身份 信息 的 使 用 习惯 。 企业 也 要 安装 第 三 方 身份 诚信 标识 ,加 强 对 消费 者 的 保护 。 

2) 核对 网 站 域名 

假冒 网 站 一 般 和 真实 网 站 有 细微 区 别 , 有 疑问 时 要 仔细 辨别 其 不 同 之 处 ,比如 在 域名 方 
面 ,假冒 网 站 通常 将 英文 字母 I 替换 为 数字 1,CCTYV 被 换 成 CCYV 或 者 CCTV-VIP 这 样 
的 仿造 域名 。 

3) 比较 网 站 内 容 

假冒 网 站 上 的 字体 样式 不 一 致 ,并 且 模 糊 不 清 。 假冒 网 站 上 没有 链接 ,用 户 可 点 击 栏目 
或 图 片 中 的 各 个 链接 看 是 否 能 打开 。 

4) 查询 网 站 备案 

通过 ICP 备案 可 以 查询 网 站 的 基本 情况 、 网 站 拥有 者 的 情况 ,对 于 没有 合法 备案 的 非 
经 营 性 网 站 或 没有 取得 ICP 许可 证 的 经 营 性 网 站 ,根据 网 站 性 质 , 将 予以 罚款 ,严重 的 关闭 
网 站 。 

5) 查看 安全 证 书 

大 型 的 电子 商务 网 站 都 应 用 了 可 信 证 书 类 产品 ,这 类 网 站 网 址 都 是 https 打头 的 ,如 果 
发 现 不 是 https 开头 ,应 谨慎 对 待 。 


1.7 数据 驱动 漏洞 攻击 举例 


数据 驱动 攻击 是 通过 向 某 个 程序 发 送 数 据 , 以 产生 非 预 期 结果 的 攻击 ,通常 为 攻击 者 
给 出 访问 目标 系统 的 权限 。 它 分 为 缓冲 区 溢出 攻击 、 格 式 化 字符 攻击 .整数 溢出 攻击 、. 悬 浮 
指针 攻击 、 同 步 漏洞 攻击 和 信任 漏洞 攻击 等 。 本 节 介 绍 出 现 普遍 的 前 面 两 种 。 


1.7.1 缓冲 区 溢出 攻击 


1988 年 ,臭名 昭著 的 Robert Morris 蠕虫 事件 曾 造成 全 世界 6000 多 台 网 络 服务 器 次 
痪 ,给 这 些 用 户 总 共 带 来 约 200 万 一 6000 万 美元 的 损失 。 从 此 ,Hacker 一 词 开始 被 赋予 了 
特定 的 含义 ,罗伯特 。 莫 里 斯 的 名 字 也 广为人知 。 他 使 用 的 就 是 缓冲 区 溢出 攻击 Cbuffer 


overflow attack) 。 
1. 缓冲 区 溢出 


缓冲 区 是 程序 运行 时 在 内 存 中 为 保存 给 定 类 型 的 数据 而 开辟 的 一 个 连续 空间 。 这 个 空 
间 是 有 限 的 。 当 程序 运行 过 程 中 要 放 人 缓冲 区 的 数据 太 多 时 ,就 会 产生 缓冲 区 溢出 。 请 看 
下 面 的 例子 。 

例 1.1 一 个 C 函 数 。 


void function(char * str) { 
char buffer[16]; 
strcpy (buffer, str); 

} 


x 


为 了 测试 这 个 函数 ,可 以 使 用 等 价 分 类 法 ,设计 两 种 字符 串 : 

(1) str 的 长 度 小 于 16。 

“27 strt 的 长 度 天 于 16。 

显然 ,使 用 测试 数据 (1) ,应 该 没有 什么 问题 ;使 用 测试 数据 (2) ,就 会 造成 buffer 的 洲 
出 ,出现 Segmentation fault( 分 段 错误 ) 。 因 为 函数 strcpy() 没 有 进行 变量 边界 的 检查 , 导 
致 缓冲 区 溢出 了 。 除 了 strcpy() 外 ,存在 类 似 问 题 的 标准 函数 还 有 strcat()、sprintf ()、 
vsprintf() 、gets() 和 scanf() 等 。 

但 是 ,这 时 并 没有 形成 攻击 ,只 能 算 作 程序 设计 不 严谨 ,形成 了 应 用 程序 的 漏洞 。 


2. 缓冲 区 溢出 攻击 


利用 绥 冲 区 溢出 漏洞 ,黑客 可 以 精心 策划 两 种 攻击 。 

(1) 利用 缓冲 器 溢出 ,关闭 某 程 序 或 使 其 无 法 执行 。 

图 1. 40 表明 了 函数 栈 帧 的 结构 和 在 栈 中 的 位 置 。 其 中 ,SP(CStack Pointer, 栈 顶 指 针 ) 
用 以 指示 栈 顶 的 偏 移 地 址 ,BP(Base Pointer, 基数 指针 ) 用 以 确定 在 堆栈 中 的 操作 数 地 址 。 
函数 调用 发 生 时 ,新 的 堆栈 帧 被 压 人 堆栈; 当 函 数 返 回 时 ,相应 的 堆栈 帧 从 堆栈 中 弹出 。 对 
于 一 个 输入 来 说 ,如 果 发 生 了 缓冲 区 溢出 ,有 可 能 使 过 多 的 输入 数据 进入 内 存 的 其 他 区 域 ， 
而 这 个 区 域内 存放 着 另外 一 个 程序 的 代码 ,这 些 数据 会 覆盖 这 个 程序 的 部 分 代码 ,使 该 程序 
不 能 正常 运行 .错误 地 关闭 或 无 法 执行 。 这 种 情形 可 能 发 生 在 本 地 ( 称 本 地 溢出 ), 也 可 能 发 
生 在 远程 ( 称 远程 溢出 )。 例 如 ,一 个 用 户 要 登录 远程 的 某 服务 器 ,首先 要 进行 登录 ,输入 密 
码 。 如 果 该 服务 器 的 登录 程序 有 缓冲 器 溢出 漏洞 , 则 可 能 会 导致 服务 器 的 某 些 程序 关闭 。 
特别 是 扰乱 具有 某 些 特权 运行 的 程序 的 功能 ,就 可 以 使 攻击 者 取得 程序 的 控制 权 。 

(2) 启动 一 个 恶意 代码 。 

如 图 1. 41 所 示 ,利用 缓冲 区 溢出 还 有 可 能 使 得 一 个 函数 返回 一 个 恶意 代码 的 地 址 。 


高 地 址 高 地 址 


恶意 代码 


BP 


低地 址 低地 址 
图 1.40 ”函数 栈 帧 的 结构 图 1.41 缓冲 区 溢出 攻 避 
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3. 缓冲 区 溢出 防御 措施 


(1) 编写 安全 的 代码 。 尽 可 能 设计 和 编写 完全 没有 缺陷 的 程序 ,避免 程序 中 有 不 检查 
变量 ,缓冲 区 大 小 及 边界 等 情况 存在 。 比 如 ,使 用 grep 工具 搜索 源 代 码 中 容易 产生 漏洞 的 
库 调用 ,检测 变量 的 大 小 和 数组 的 边界 ,对 指针 变量 进行 保护 ,以 及 使 用 具有 边界 和 大 小 检 
测 功 能 的 程序 设计 语言 编译 器 等 。 

(2) 基于 一 定 的 安全 策略 设置 系统 。 攻 击 者 攻击 某 个 Linux 系统 ,必须 事先 通过 某 些 
途径 对 要 攻击 的 系统 做 必要 的 了 解 , 如 版 本 信息 等 ,然后 再 利用 系统 的 某 些 设置 直接 或 间接 
地 获取 控制 权 。 因 此 ,防范 缓冲 区 溢出 攻击 就 要 对 系统 设置 实施 有 效 的 安全 策略 。 

减少 以 root 权限 运行 的 代码 。 减 少 使 用 SUID 的 root 程序 。 这 样 即使 攻击 者 成 功 地 
执行 了 缓冲 区 洲 出 攻击 ,他 们 还 得 继续 把 自己 的 特权 升级 到 root。 

(3) 保护 堆栈 。 主 要 有 以 下 两 种 措施 : 

@ 加 入 函数 建立 和 销毁 代码 。 前 者 在 函数 返回 地 址 后 增加 一 些 附 加 字 节 ,返回 时 要 检 
查 这 些 字 节 有 无 被 改动 。 

@) 使 堆栈 不 可 执行 一 一 非 执 行 缓冲 区 技术 ,使 人 侵 者 无 法 利用 缓冲 区 溢出 漏洞 。 

(4) 测试 并 审核 每 个 程序 。 

(5) 安装 由 厂家 提供 的 所 有 相关 的 安全 补丁 。 


1.7.2 格式 化 字符 串 攻 击 


格式 化 字符 串 攻 击 与 普通 缓冲 区 溢出 攻击 有 一 些 相似 之 处 ,但 又 有 不 同 。 普 通 的 缓冲 
区 溢出 攻击 利用 的 是 堆栈 生长 方向 与 数据 存储 方向 相反 ,用 后 存 人 的 数据 来 覆盖 先前 压 栈 
的 返回 地 址 ,从 而 改变 程序 预定 的 流程 。 而 格式 化 字符 串 攻 击 是 利用 程序 中 的 一 些 本 应 指 
定 用 户 输入 格式 , 却 没 有 严格 指定 用 户 输入 格式 的 函数 ,通过 提交 特殊 的 格式 字符 串 进行 
攻击 。 


1. 格式 化 字符 串 函 数 族 


ANSIC 定义 了 一 系列 的 格式 化 字符 串 函 数 。 

printf: 输出 到 一 个 stdout 流 。 

fprintf: 输出 到 一 个 文件 流 。 

sprintf: 输出 到 一 个 字符 串 。 

snprintf : 输出 到 一 个 字符 串 并 检查 长 度 。 

vbprintf: 从 va_arg 结构 体 输出 到 一 个 stdout 流 。 

vfprintf: 从 va_arg 结构 体 输出 到 一 个 文件 流 。 

vsprintf: 从 va_arg 结构 体 输出 到 一 个 字符 串 。 

vsnprintf: 从 va_arg 结构 体 输出 到 一 个 字符 串 并 检查 长 度 。 

另外 ,还 有 基于 这 些 函 数 的 复杂 函数 和 非 标准 函数 .包括 setproetitle syslog、err x 、 
verr xx .warm 和 x vwarm 等 。 

这 些 函 数 有 一 个 共同 的 特点 , 即 都 要 求 使 用 一 个 格式 化 字符 串 。 例 如 对 于 printf 函数 ， 
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它 的 第 一 个 参数 就 是 格式 化 字符 串 。 
2. 格式 化 字符 串 漏洞 


为 了 说 明 对 格式 化 字符 串 使 用 不 当 而 产生 的 格式 化 字符 串 漏洞 ,请 先 看 下 面 的 程序 。 
例 1.2 
#include <stdio.h> 
int main() { 
char * name; 
gets (s); 
printf (s); 
} 


下 面 是 该 函数 的 两 次 运行 结果 : 


abcde 
abcde%08x,%08x,%08x 
000002e2,0000ffe4,0000011d 


也 就 是 说 , 当 输 入 abcde 时 ,输出 仍然 是 abcde。 而 当 输 入 %08x,%08x,%08x 时 ,输出 
的 却 是 000002e2,0000fe4,0000011d。 这 就 是 格式 化 字符 串 漏 洞 所 造成 的 问题 。 因 为 ,在 
printf 函数 中 ,s 被 解释 成 了 格式 化 字符 串 。 当 调用 该 函数 时 ,首先 会 解析 格式 化 字符 串 ,一 
次 取 一 个 字符 进行 分 析 : 如 果 字 符 不 是 % ,就 将 其 原样 输出 ; 若 字 符 是 %, 则 其 后 面 的 字符 
就 要 按照 格式 化 参数 进行 解析 。 当 输入 abcde 时 ,由 于 没有 包含 % ,所 以 每 个 字符 都 被 原样 
输出 了 。 而 当 输 入 %08x,%08x,%08x 时 ,就 要 将 每 个 % 后 面 的 x 都 解释 为 一 个 十 六 进 制 
的 数据 项 ,但 函数 没有 这 样 3 个 数据 项 。 于 是 ,就 将 堆栈 中 从 当前 堆栈 指针 向 堆栈 底部 方向 
的 3 个 地 址 的 内 容 按 十 六 进 制 输出 出 来 ,这 就 是 000002e2,0000fe4,0000011d。 

这 就 给 人 们 一 个 启发 : 当 格 式 化 字符 串 中 包含 有 许多 为 时 ,就 会 有 机 会 访问 到 一 个 非 
法 地 址 。 


3. 格式 化 字符 串 攻 击 的 几 种 形式 

(1) 查看 内 存 堆 栈 指针 开始 的 一 些 地 址 的 内 容 。 
使 用 类 似 于 

printf ("s08xys08xys08xn) 7 


的 语句 ,可 以 输出 当前 堆栈 指针 向 栈 底 方向 的 一 些 地 址 的 内 容 , 甚 至 可 以 是 超过 栈 底 之 外 的 
内 存 地 址 的 内 容 。 

(2) 查看 内 存 任何 地 址 的 内 容 。 

所 查看 的 内 存 地 址 内 容 也 可 以 从 任何 一 个 地 址 开始 的 内 存 内 容 。 例 如 ,语句 


printf ("\x20\02\x85\x08 %08x,%08x,%08x"); 


将 会 从 地 址 0x08850220 开始 ,查看 连续 3 个 地 址 的 内 容 。 


。79 。 


(3) 修改 内 存 任何 地 址 的 内 容 。 

格式 化 字符 串 函 数 还 可 以 使 用 一 个 格式 字符 %n。 它 的 作用 是 将 已 经 打印 的 字 节 数 写 
入 一 个 变量 。 请 观察 下 面 的 程序 。 

例 1.3 


#include <stdio.h> 

int main() { 
int i; 
printf("china \s$n\n", (int* )&i); 
printf ("i =%d\n",i); 

和 


程序 运行 的 结果 如 下 : 


即 i 的 值 为 前 面 已 经 打印 的 字符 串 china 的 长 度 5。 利 用 这 一 点 ,很 容易 改变 某 个 内 存 变量 
的 值 。 
例 1.4 
#include <stdio.h> 
int main(){ 
int i=5; 
printf("%108usn\t",1, (int* )&i);printf ("i=%d\n",i); 
printf("%58s123%n\t","",&i);print ("i=%d\n",i); 


printf("%1l08usn\t",1, (int* )&i); 
用 数据 1 的 宽度 108 来 修改 变量 i 的 值 。 而 语句 
printf ("$58s123%n\t"," ", &i); 


是 用 字符 串 "" 加 上 字符 串 123 的 存放 宽度 23 十 3 来 修改 变量 i 的 值 。 
使 用 同样 的 办 法 ,可 以 向 进程 空间 中 的 任意 地 方 写 一 个 字 节 。 以 达到 下 面 的 目的 : 
。 通过 修改 关键 内 存 地址 内 容 . 实 现 对 程序 流程 的 控制 。 
。 覆盖 一 个 程序 储存 的 UID 值 , 以 降低 和 提升 特权 。 
覆盖 一 个 执行 命令 。 
。 覆盖 一 个 返回 地 址 ,将 其 重 定向 到 包含 shell code 的 缓冲 区 中 。 
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1.8 拒绝 服务 攻击 


1.8.1 拒绝 服务 攻击 及 其 基本 方法 


拒绝 服务 (Denial of Service,DoS) 攻 击 并 不 是 某 一 种 具体 的 攻击 方式 ,而 是 攻击 所 表现 
出 来 的 结果 ,其 最 终 使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 服务 ,其 至 
导致 物理 上 的 瘫痪 或 衣 演 。 具 体 的 攻击 方法 可 以 是 多 种 多 样 的 ,可 以 是 单一 的 手段 ,也 可 以 
是 多 种 方式 的 组 合 利 用 ,最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资 
源 。 下 面 介 绍 几 种 典型 的 拒绝 服务 攻击 。 


1. JP 碎片 攻击 

1) IP 碎片 与 IP 碎片 漏洞 

数据 链 路 层 对 于 所 传输 的 帧 有 一 个 长 度 限 制 , 不 允许 超过 最 大 传输 单元 MTU 
(Maximum Transmission Unit) 。 不 同 的 网 络 的 MTU 值 不 相同 ,以 太 网 的 MTU 为 1500， 
IEEE 802. 3/802. 2 为 1492。 这 个 值 可 以 用 netstat -i 查 看 。 

由 于 在 IP 层 中 ,数据 包 要 由 数据 部 分 加 上 IP 头 ( 长 度 为 20) 和 传输 层 分 组 头 (UDP 头 
长 度 为 8) ,所 以 当 要 传输 UDP 分 组 时 ,数据 部 分 只 能 有 1500 一 20 一 8 一 1472。 数 据 部 分 大 
于 这 个 值 , 就 要 进行 分 片 (fragmentation) 以 满足 在 以 太 网 中 的 传输 要 求 。 但 是 ,数据 被 分 片 
后 ,组 成 一 个 IP 包 的 各 分 片 都 到 达 目 的 主机 时 才 进 行 重组 。 所 以 ,分 片 会 导致 传输 效率 
降低 。 

在 IP 协议 规范 中 规定 了 一 个 IP 包 的 最 大 尺寸 ,而 大 多 数 的 包 处 理 程序 又 假设 包 的 长 
度 超 过 这 个 最 大 尺寸 这 种 情况 是 不 会 出 现 的 。 因 此 , 包 的 重组 代码 所 分 配 的 内 存 区 域 也 最 
大 不 超过 这 个 最 大 尺寸 。 这 样 ,超大 的 包 一 旦 出 现 . 包 中 的 额外 数据 就 会 被 写 人 其 他 正常 区 
域 。 这 很 容易 导致 系统 进入 非 稳 定 状 态 , 是 一 种 典型 的 缓存 溢出 (buffer overflow) 攻 击 。 

2) 死亡 之 ping(ping of death) 攻 击 

死亡 之 ping 是 早期 使 用 的 一 种 简单 的 IP 分 片 攻 击 。ping 是 ICMP (Internet Control 
Message Protocol, 网 际 控制 消息 协议 ) 中 的 一 个 应 用 程序 。ICMP 是 一 种 差错 报告 机 制 ,可 
以 让 路 由 器 或 目标 主机 将 遇 到 的 差错 报告 给 源 主机 ,以 弥补 TCMP 分 组 
IP 协议 无 连接 .无 差错 报告 和 差错 纠正 机 制 的 不 足 。 如 ， 1 
图 1. 42 所 示 ,ICMP 报 文 始终 包含 IP 首部 和 产生 ICMP 差 | PP 首部 IP 数 据 
错 报 文 的 IP 数据 报 的 前 8 个 字 节 (64KB) 。 由 于 这 一 特点 ， 图 1.42 ICMP 分 组 的 封装 
早期 的 许多 操作 系统 在 处 理 ICMP 协议 (如 接收 ICMP 数据 
报 文 ) 时 ,只 开辟 64KB 的 缓存 区 。 在 这 种 情况 下 ,一 旦 处 理 的 数据 报 的 实际 长 度 超过 
64KB, 操 作 系 统 将 会 产生 一 个 缓冲 溢出 ,引起 内 存 分 配 错误 ,最 终 导致 TCP/IP 协议 堆栈 的 
衣 溃 ,造成 主机 死机 。 

ping 通过 发 送 ICMP 测试 包 来 测试 一 台 主 机 的 可 达 性 。 死 亡 之 ping 进行 攻击 时 ,可 以 
执行 以 下 命令 : 


5 


ping -1 65535 目标 IP -七 

其 中 : 

参数 1(L) 用 于 指定 包 的 长 度 , 这 里 是 65 535。 因 为 IP 包头 中 用 于 指定 IP 数据 包 长 度 
的 字段 为 2B, 所 以 一 个 IP 数据 包 的 最 大 长 度 为 2* 一 65536B。 取 65 535 已 是 相当 大 了 。 

参数 ti(T) 要 求 一 直 ping。 这 时 ,对 方 的 主机 车 存在 这 种 漏洞 ,就 会 形成 一 次 拒绝 服务 
攻击 。 但 是 ,现在 的 操作 系统 所 附带 的 ping 程序 都 限制 了 发 送 数 据 包 的 大 小 。 因 而 这 样 的 
攻击 已 经 不 再 可 能 。 

2.“ 泪 滴 ”(teardrop) 

“ 泪 滴 ”攻击 就 是 和 信 侵 者 伪造 数据 报 文 ,向 目标 机 发 送 含有 重 番 偏 移 的 畸形 数据 分 段 : 
第 一 个 包 的 偏 移 量 为 0, 长 度 为 N; 第 二 个 包 的 偏 移 量 小 于 N…… 如 图 1. 43 所 示 。 这 样 的 
畸形 分 片 传 送 到 目的 主机 后 ,在 堆栈 中 重组 时 ,需要 超 乎 寻常 的 巨大 资源 ,从 而 造成 系统 资 
源 的 缺乏 ,协议 栈 朋 演 。 


入 侵 者 
T T 
PSH 2049:3072… 
， | PSH 1000:2048(1024)… 
T 
PSH 1:1024… 
重 装 出 错 目标 主机 


图 1.43 含有 重合 偏 移 的 畸形 数据 分 片 


3. UDP"* 洪 水 ”(UDP flood) 


UDP* 洪 水 ”, 也 称 UDP 淹没 ,是 基于 主机 的 服务 拒绝 攻击 的 一 种 。 其 原理 非常 简单 ， 
因为 UDP 是 一 种 无 连接 的 协议 , 它 不 需要 用 任何 程序 建立 连接 就 可 以 传送 数据 。 这 样 , 攻 
击 者 只 要 开启 一 个 端口 提供 相关 的 服务 ,就 可 以 对 攻击 对 象 实施 针对 相关 服务 的 攻击 。 常 
见 的 情况 是 利用 大 量 UDP 小 包 对 DNS 服务 器 Radius 认证 服务 器 、 流 媒体 服务 器 以 及 防 
火 墙 等 发 起 攻击 ,造成 网 络 瘫痪 。 例 如 ,攻击 可 以 针对 Echo/Chargen 服务 进行 。Echo/ 
Chargen 服务 是 TCP/IP 为 UDP 提供 的 两 种 服务 。Echo 的 作用 就 是 由 接收 端 将 接收 到 的 
数据 内 容 返回 到 发 送 端 ,Chargen 则 随机 返回 字符 。 这 样 简单 的 功能 ,为 网 络 管理 员 提 供 了 
进行 可 达 性 测试 .协议 软件 测试 和 选 路 识别 的 重要 工具 ,也 为 黑客 进行 “洪水 ”攻击 提供 了 方 
便 。 当 入 侵 者 假冒 一 台 主 机 向 另 一 台 主 机 的 服务 端口 发 送 数据 时 ,Echo 服务 或 Chargen 服 
务 就 会 自动 回复 。 两 台 主 机 之 间 的 互相 回 送 会 形成 大 量 数据 包 。 当 多 台 主 机 之 间 相 互 产生 
回 送 数据 包 时 ,最终 会 导致 系统 瘫痪 。 


各 只 这 


4. SYN “洪水 ”(SYN flood) 与 Land 


SYN flood 是 当前 最 流行 的 拒绝 服务 攻击 方式 之 一 。 它 一 种 利用 TCP 协议 缺陷 ,发 送 
大 量 伪造 的 TCP 连接 请 求 , 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 的 攻击 
方 或。 

这 种 攻击 的 基本 原理 ,还 是 要 从 TCP 连接 建立 的 过 程 一 一 三 次 握手 (three-way 
handshake) 说 起 。 这 个 三 次 握手 过 程 存在 着 漏洞 : 假设 一 个 客户 向 服务 器 发 送 了 SYN 报 
文 后 突然 死机 或 掉 线 ,那么 服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 就 无 法 收 到 客户 端的 
ACK 报 文 , 使 第 三 次 握手 无 法 完成 。 而 服务 器 并 不 知道 客户 端 发 生 了 什么 情况 ， 于 是 就 会 
重 试 , 再 次 发 送 SYN 十 ACK 给 客户 端 ,并 等 待 一 段 时 间 SYN Timeout( 大 约 为 30 秒 至 
2 分钟) 后 丢弃 这 个 半 连 接 。 这 个 情况 似乎 很 正常 。 但 只 能 说 在 正常 情况 下 很 正常 。 而 在 
非 正 常情 况 下 ,就 会 出 现 问题 ,因为 它 使 攻击 者 有 机 可 乘 : 假如 攻击 者 大 量 模拟 这 种 情况 ， 
服务 器 端 将 要 维护 一 个 非常 大 的 半 连 接 列表 ,即便 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 
CPU 时 间 和 内 存 , 何 况 还 要 不 断 对 这 个 列表 中 的 IP 进行 SYN 十 ACK 的 重 试 。 这 种 情况 
下 , 若 服务 器 的 TCP/IP 栈 不 够 强大 ,最 后 就 会 导致 堆栈 游 出 使 系统 骨 溃 ;即使 服务 器 端的 
系统 足够 强大 ,服务 器 端 也 会 因 忙于 处 理 攻 击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客户 的 正 
常 请 求 , 使 服务 器 无 法 再 服务 。 

Land 也 是 利用 三 次 握手 的 缺陷 进行 攻击 。 但 它 不 是 依靠 伪造 的 地 址 ,而 是 先 发 出 一 
特殊 的 SYN 数据 包 , 包 中 的 源 地 址 和 目标 地 址 都 是 目标 主机 。 这 样 ,就 会 让 目标 主机 向 自 
己 回 以 SYN 十 ACK 包 , 导 致 自己 又 给 自己 回 一 个 ACK 并 建立 自己 与 自己 的 连接 。 大 量 这 
样 的 无 效 连接 达到 一 定数 量 ,将 会 拒绝 新 的 连接 请 求 。 


5. MAC Flood 攻击 


MAC Flood 攻击 是 针对 交换 机 的 攻击 。 在 交换 式 局 域 网 中 ,利用 交换 地 址 映射 表 ,将 
从 一 个 端口 (MAC) 接 收 到 的 数据 转发 到 另外 的 端口 (MAC)。 交 换 机 型 号 不 同 , MAC 地 址 
表 中 可 容纳 的 MAC 地 址 数量 也 不 同 。 在 正常 情况 下 ,MAC 地 址 表 的 容量 是 足够 使 用 的 。 
另 一 方面 ,为 了 使 交换 机 地 址 映射 表 不 被 过 期 的 地 址 挤 满 , 交 换 机 常 使 用 动态 交换 地 址 映射 
表 , 其 特点 是 规定 了 一 个 age time 一 一 MAC 地址 老化 时 间 , 默 认为 5 分 钟 。 如 果 在 age 
time 没有 收 到 过 任何 MAC 地 址 表 条 目的 数据 帧 , 则 将 该 MAC 地 址 条 目 删 除 。 

利用 MAC 地 址 映射 表 进 行 攻击 时 ,攻击 者 可 以 使 用 一 个 程序 ,伪造 大 量 包 含 随机 源 
MAC 地 址 的 数据 帧 发 往 交 换 机 。 由 于 有 些 攻击 程序 一 分 钟 就 可 以 发 出 十 几 万 个 伪造 的 
MAC 地 址 ,而 交换 机 一 般 MAC 地 址 表 只 有 几 千 条 ,所 以 瞬间 就 会 把 交换 机 的 MAC 地 址 
表 填 满 。 于 是 ,交换 机 再 接 到 数据 ,不 管 是 单 播 、 广 播 还 是 组 播 , 都 找 不 到 需要 的 地 址 表 条 
目 ,无 法 找到 对 应 的 端口 进行 转发 ,只 能 向 所 有 端口 广播 。 


1.8.2 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻 击 指 借助 于 客户 /服务 器 技 
术 ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提 
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高 拒绝 服务 攻击 的 威力 。 通 常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程序 安装 在 一 个 计 
算 机 上 ,在 一 个 设 定 的 时 间 主 控 程 序 将 与 大 量 代 理 程 序 通信 ,代理 程序 已 经 被 安装 在 
Internet 上 的 许多 计算 机 上 。 代 理 程 序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 , 主 
控 程 序 能 在 几 秒 钟 内 激活 成 百 上 千 次 代理 程序 的 运行 。 


1. DDos 系统 的 一 般 结 构 
如 图 1. 44 所 示 ,一 个 比较 完善 的 DDoS 攻击 体系 分 成 如 下 4 个 部 分 。 


Ps | 代理 端 
”一 一 、 国 [| 代理 疝 
主 控 端 目 | 
0 
3 J De 
寺 ] 代理 端 
= 
= 六 “~ 代理 端 
图 1.44 ”DDoS 攻击 原理 


(1) 攻击 者 : 整个 攻击 过 程 的 发 起 者 ,其 所 用 主机 称 为 攻击 主 控 台 ,可 以 是 网 络 上 任何 
一 台 主 机 ,用 来 向 主 控 端 发 送 命令 。 

(2) 主 控 端 : 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,其 上 安装 了 特殊 程序 用 来 接收 攻击 
者 的 命令 ,并 向 它们 控制 的 各 代理 端 发 出 这 些 命令 。 

(3) 代理 端 : 即 倪 偶 机 ,也 是 攻击 者 控制 的 一 些 主机 ,其 上 运行 攻击 程序 。 

(4) 受害 者 。 


2. 组 织 一 次 DDoS 攻击 的 过 程 


这 里 用 “组 织 ” 这 个 词 ,是 因为 DDoS 并 不 像 和 人 侵 一 台 主 机 那样 简单 。 一 般 来 说 ,黑客 进 
行 DDoS 攻击 时 会 经 过 如 下 几 个 步骤。 

1) 搜集 了 解 目标 的 情况 

下 列 情况 是 黑客 非常 关心 的 情报 : 

。 被 攻击 目标 主机 数目 、 地 址 情况 ; 

。 目标 主机 的 配置 、 性 能 ， 

。 目标 的 带宽 。 

对 于 DDoS 攻击 者 来 说 ,攻击 互联 网 上 的 某 个 站 点 ,有 一 个 重点 就 是 确定 到 底 有 多 少 台 
主机 在 支持 这 个 站 点 ,一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 均衡 技术 提供 同一 个 网 站 
的 WWW 服务 。 以 Yahoo! 为 例 ,一 般 会 有 下 列 地 址 提供 WWW 服务 : 

ee 


66. 218. 71. 87 

66. 218.71. 88 

66. 218.71. 89 

66. 218. 71. 80 

66. 218.71. 81 

66. 218, 71.83 

66. 218. 71. 84 

66. 218.71. 86 

对 一 个 网 站 实施 DDoS 攻击 ,就 要 让 这 个 网 站 中 所 有 IP 地 址 的 机 器 都 次 病 。 所 以 事先 搜 
集 情 报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ,这 关系 到 使 用 多 少 台 倪 偶 机 才能 达到 效果 的 问题 。 

2) 占领 倪 儒 机 

黑客 最 感 兴 趣 的 是 有 下 列 情况 的 主机 : 

。 链 路 状态 好 的 主机 ; 

。 性 能 好 的 主机 ; 

。 安全 管理 水 平 差 的 主机 。 

首先 ,黑客 做 的 工作 一 般 是 扫描 ,随机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 网 络 上 那 
些 有 漏洞 的 主机 , 像 程序 的 溢出 漏洞 `、CGI、Unicode、FTP 数据 库 漏 洞 等 ,都 是 黑客 希望 看 
到 的 扫描 结果 。 随 后 就 是 尝试 人 侵 了 。 

黑客 在 占领 了 一 台 倪 偶 机 后 ,除了 要 进行 留 后 门 、 控 脚印 这 些 基 本 工作 之 外 ,还 要 把 
DDoS 攻击 用 的 程序 上 载 过 去 ,一 般 是 利用 FTP。 在 攻击 机 上 ,会 有 一 个 DDoS 的 发 包 程 
序 ,黑客 就 是 利用 它 来 向 受害 目标 发 送 恶 意 攻击 包 的 。 

3) 实际 攻击 

前 面 的 准备 做 得 好 的 话 ,实际 攻击 过 程 反而 是 比较 简单 的 。 这 时 候 埋 伏 在 攻击 机 中 的 
DDoS 攻击 程序 就 会 响应 主 控 台 的 命令 ,一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 , 导 致 
它 死机 或 无 法 响应 正常 的 请 求 。 黑 客 一 般 会 以 远 远 超出 受害 方 处 理 能 力 的 速度 进行 攻击 。 
高 明 的 攻击 者 还 要 一 边 攻击 一 边 用 各 种 手段 来 监视 攻击 的 效果 ,以 便 需 要 的 时 候 进 行 一 些 
调整 。 较 为 简单 的 办 法 就 是 开 一 个 窗口 不 断 地 ping 目标 主机 .在 能 接 到 回应 的 时 候 就 再 加 
大 一 些 流 量 或 者 命令 更 多 的 倪 偶 机 加 入 攻击 。 


3. DDoS 的 监测 


现在 网 上 DDoS 攻击 日 益 增 多 ,只 有 及 时 检测 ,及 早 发 现 自己 受到 攻击 ,才能 避免 遭受 
惨重 的 损失 。 检 测 DDoS 攻击 的 主要 方法 有 以 下 几 种 。 

1) 根据 异常 情况 分 析 

异常 情况 包括 : 

。 网络 的 通信 量 突然 急剧 增长 ,超过 平常 的 极限 值 时 。 

。 网 站 的 某 一 特定 服务 总 是 失败 。 

。 发 现 有 特大 型 的 ICP 和 UDP 数据 包 通过 ,或 者 数据 包 内 容 可 疑 。 
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2) 使 用 DDoS 检测 工具 

扫描 系统 漏洞 是 攻击 者 最 常 进行 的 攻击 准备 。 目 前 市 面 上 的 一 些 网 络 人 侵 检 测 系 统 可 
以 杜绝 攻击 者 的 扫描 行为 。 另 外 ,一 些 扫 描 器 工具 可 以 发 现 攻击 者 植 人 系统 的 代理 程序 ,并 
可 以 把 它 从 系统 中 删除 。 

4. DDoS 实例 

1) Smurf 与 Fraggle 

将 一 个 目的 地 址 设置 成 广播 地 址 (以 太 网 地 址 为 FF:FF:FF:FF:FF:FF:FF) 后 ,将 会 
被 网 络 中 所 有 主机 接收 并 处 理 。 显 然 ,如 果 攻 击 者 假冒 目标 主机 的 地 址 发 出 广播 信息 , 则 所 
有 主机 都 会 向 目标 主机 回复 一 个 应 答 使 目标 主机 淹没 在 大 量 信息 中 ,无 法 提供 新 的 服务 。 
Smurf 和 Fraggle 攻击 就 是 利用 广播 地 址 的 这 一 特点 将 攻击 放大 而 实施 的 拒绝 服务 攻击 。 
其 中 ,Smurf 是 用 广播 地 址 发 送 ICMP ECHO 包 ,而 Fraggle 是 用 广播 地 址 发 送 UDP 包 。 

显然 ,Smurf 为 了 能 工作 ,必须 要 找到 攻击 平台 ,这 个 平台 就 是 : 其 路 由 器 上 启动 了 IP 
广播 功能 的 系统 ,这样 就 能 允许 Smurf 发 送 一 个 伪造 的 ping 信息 包 , 然 后 将 它 传播 到 整个 
计算 机 网 络 中 。 因 而 ,为 防止 系统 成 为 Smurf 攻击 的 平台 .要 将 所 有 路 由 器 上 IP 的 广播 功 
能 都 禁止 (一 般 来 讲 ,IP 广播 功能 并 不 需要 )。 但 是 ,攻击 者 若 从 LAN 内 部 发 动 一 个 Smurf 
攻击 ,在 这 种 情况 下 ,禁止 路 由 器 上 的 IP 广播 功能 就 没有 用 了 。 为 了 避免 这 样 一 个 攻击 , 许 
多 操作 系统 都 提供 了 相应 设置 ,防止 计算 机 对 IP 广播 请 求 做 出 响应 。 

挫败 一 个 Smurf 攻击 的 最 简单 方法 对 边界 路 由 器 的 回音 应 答 (echo reply) 信 息 包 进行 
过 滤 ,然后 丢弃 它们 ,使 网 络 避 免 被 济 没 。 

2) trinoo 


trinoo 是 复杂 的 DDoS 攻击 程序 , 它 使 用 了 主 控 程序 对 实际 实施 攻击 的 任何 数量 的 代 
理 程序 实现 自动 控制 。 图 1. 45 形象 地 表明 了 它 的 攻击 原理 。 图 中 的 “ 倪 癸 机 ?就 是 一 些 代 
理 ,“ 控 制 斧 仿 机 ”就 是 安装 有 主 控 程序 的 计算 机 。 


® 
[el 攻击 便 偶 机 


攻击 便 儒 机 


图 1. 45 ”trinoo DDoS 攻击 的 原理 


。 86 。 


trinoo DDoS 攻击 的 基本 过 程 是 : 攻击 者 连接 到 安装 了 主 控 程 序 的 计算 机 ,启动 主 控 程 
序 ,然后 根据 一 个 IP 地 址 的 列表 ,由 主 控 程 序 负责 启动 所 有 的 代理 程序 。 接 着 ,代理 程序 用 
UDP 信息 包 冲 击 网 络 ,攻击 目标 。 在 攻击 之 前 ,侵入 者 为 了 安装 软件 ,已 经 控制 了 装 有 主 控 
程序 的 计算 机 和 所 有 装 有 代理 程序 的 计算 机 。 

DDoS 就 是 利用 更 多 的 佛 和 儒 机 来 发 起 进攻 ,以 更 大 的 规模 来 进攻 受害 者 。 

3) Tribe Flood Network 和 TFN2K 


Tribe Flood Network 与 trinoo 一 样 ,使 用 一 个 主 挖 程序 与 位 于 多 个 网 络 上 的 攻击 代理 
进行 通信 。TFN 可 以 并 行 发 动 数不胜数 的 DoS 攻击 ,类 型 多 种 多 样 ( 如 UDP 攻击 、TCP 
SYN 攻击 .ICMP 回音 请 求 攻击 以 及 ICMP 广播 ) ,而且 还 可 建立 带 有 伪装 源 IP 地 址 的 信 
息 包 。 

TFN2K 是 TFN 的 一 个 更 高 级 的 版 本 , 它 “ 修 复 ” 了 TFN 的 某 些 缺点 。 

4) Stacheldraht 


Stacheldraht 也 是 基于 TFN 的 , 它 采 用 和 trinoo 一 样 的 客户 /服务 器 模式 ,其 中 主 控 程 
序 与 潜在 的 成 千 个 代理 程序 进行 通信 。 在 发 动 攻击 时 ,侵入 者 与 主 控 程 序 进 行 连接 。 
Stacheldraht 增加 了 以 下 新 功能 : 攻击 者 与 主 控 程 序 之 间 的 通信 和 是 加 密 的 ,以 及 使 用 rcp 
(remote copy, 远 程 复 制 ) 技 术 对 代理 程序 进行 更 新 。 


5. DDoS 攻击 的 防御 策略 


DDoS 攻击 的 隐蔽 性 极 强 ,迄今 人 们 还 没有 找到 对 DDoS 攻击 行 之 有 效 的 防御 方法 。 
所 以 加 强 安全 防范 意识 、 提 高 网 络 系统 的 安全 性 还 是 当前 最 为 有 效 的 办 法 。 可 采取 的 安全 
防御 措施 有 以 下 几 种 : 

(1) 及 早 发 现 系 统 存 在 的 攻击 漏洞 ,及 时 安装 系统 补丁 程序 。 对 一 些 重要 的 信息 (例如 
系统 配置 信息 ) 建 立 和 完善 备份 机 制 。 对 一 些 特权 账号 (例如 管理 员 账 号 ) 的 密码 设置 要 谨 
慎 。 通 过 这 样 一 系列 的 举措 可 以 把 攻击 者 的 可 乘 之 机 降低 到 最 小 。 

(2) 在 网 络 管理 方面 ,要 经 常 检 查 系 统 的 物理 环境 ,禁止 那些 不 必要 的 网 络 服务 。 建 立 
边界 安全 界限 ,确保 输出 的 包 受 到 正确 限制 。 经 常 检 测 系统 配置 信息 ,并 注意 查看 每 天 的 安 
全 目 志 % 

(3) 利用 网 络 安 全 设备 (如 防火 墙 ) 来 加 固 网 络 的 安全 性 ,配置 好 它们 的 安全 规则 ,过滤 
所 有 可 能 的 伪造 数据 包 。 

(4) 与 网 络 服务 提供 商 协调 工作 ,请 其 帮助 实现 路 由 的 访问 控制 和 对 带宽 总 量 的 限制 。 

(5) 当 发 现 自己 正在 遭受 DDoS 攻击 时 ,应 当 立 即 启动 应 急 策 略 , 尽 可 能 快 地 追踪 攻击 
包 ,并 且 要 及 时 联系 ISP 和 有 关 应 急 组 织 ,分 析 受 影响 的 系统 ,确定 涉及 的 其 他 节点 ,从 而 阻 
挡 来 自己 知 攻击 节点 的 流量 。 

(6) 发 现 自己 的 计算 机 被 攻击 者 用 做 主 控 端 和 代理 端 时 ,不 能 因为 自己 的 系统 暂时 没 
有 受到 损害 而 掉以轻心 ,因为 攻击 者 已 发 现 系统 的 漏洞 ,这 是 一 个 很 大 的 潜在 威胁 。 同 时 ， 
一 旦 发 现 系 统 中 存在 DDoS 攻击 的 工具 软件 要 及 时 把 它 清除 ,以 免 留 下 后 患 。 
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实验 4 拒绝 服务 攻击 演示 


1. 实验 目的 
了 解 拒 绝 服务 攻击 的 种 类 及 其 攻击 要 点 。 
2. 实验 内 容 


(1) 总 结 当前 已 经 发 现 的 各 种 拒绝 服务 攻击 及 其 攻击 原理 (要 点 )。 
(2) 针对 一 种 可 能 造成 拒绝 攻击 的 系统 漏洞 ,为 其 设计 一 个 测试 程序 。 


3. 实验 准备 


(1) 收集 当前 已 经 发 现 的 各 种 拒绝 服务 攻击 及 其 攻击 原理 (要 点 )。 

(2) 收集 拒绝 服务 攻击 工具 ,分 析 其 攻击 的 机 理 和 利用 的 系统 漏洞 。 

(3) 根据 分 析 的 拒绝 服务 工具 所 利用 的 系统 漏洞 ,为 其 设计 一 个 测试 程序 。 
(4) 写 出 用 自己 设计 的 程序 和 工具 进行 上 述 拒绝 服务 攻击 实验 的 环境 及 步 又 。 
(5) 制定 实验 应 急 预 案 。 


4. 实验 范例 


Linux 的 UNIX 域名 套 接 字 没 有 考虑 /proc/sys/net/core/wmem_max 参数 的 限制 ,本 
地 普通 用 户 可 以 通过 向 某 个 套 接 字 传送 大 量 数据 ,导致 Linux 内 核 分 配 内 存 空间 时 出 错 , 系 
统 停止 响应 。 此 时 必须 重新 启动 系统 。 

对 该 漏洞 ,可 以 使 用 下 面 的 测试 程序 : 


#include <sys/types.h> 
#include <sys/socket .h> 


#include <string.h> 
char buf [128 * 1024]; 


int main (int argc, charxxargv) 
{ 
struct sockaddr SyslogAddr; 
int LogFile; 
int bufsize =sizeof (buf)-5; 


nt 8 


for (i=0; i <bufsize; i++) 
buf[i] =' '+ (i%95); 
buf[i] ="'"; 


SyslogAddr .sa family =AF UNIX; 

strncpy (SyslogAddr.sa data, "/dev/log",sizeof (SyslogAddr.sa data)); 
LogFile =socket (AF UNIX, SOCK DGRAM, 0); 

sendto (LogFile, buf, bufsize, 0, &SyslogAddr,sizeof (SyslogAddr)); 


s Bs 


return 07 


} 


5. 推荐 的 分 析 讨 论 内 容 


(1) 如 何 防止 和 发 现 拒 绝 服 务 攻 击 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


1.8.3 伪 尸 网 络 


僵尸 (zombie) 指 人 死 后 的 尸体 在 某 种 作用 下 重新 起 立行 走 , 据 咬 活 人 ;被 咬 者 遭受 传 
染 ,不 久 也 会 变 成 僵尸 。 僵 尸 网 络 (botnet) 是 指 采 用 一 种 或 多 种 传播 手段 ,将 大 量 主 机 感染 
bot 程序 (僵尸 程序 ) ,从 而 在 控制 者 和 被 感染 主机 之 间 形 成 一 个 可 一 对 多 控制 的 网 络 。 攻 
击 者 通过 各 种 途径 传播 僵尸 程序 感染 互联 网 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 一 个 控 
制 信道 接收 攻击 者 的 指令 ,组 成 一 个 僵尸 网 络 。 


1. 僵尸 网 络 的 基本 功能 


1) 作为 黑客 发 动 DDoS 攻击 的 工具 

僵尸 网 络 主要 被 黑客 作为 发 起 DDoS 攻击 的 倪 偶 。 攻 击 的 目标 可 以 是 Internet 上 任何 
可 用 的 服务 器 ,但 以 攻击 Web 服务 器 数量 为 最 多 ,通过 功能 滥用 的 攻击 ,比如 针对 电子 公告 
栏 运 行 能 耗 尽 资源 的 查询 或 者 在 受害 网 站 上 运行 递归 HTTP 洪水 攻击 。 递 归 HTTP 洪水 
指 的 是 僵尸 工具 从 一 个 给 定 的 HTTP 链接 开始 ,以 递归 的 方式 顺 着 指定 网 站 上 所 有 的 链接 
访问 ,这 也 叫 蜂 蛛 疏 行 。 

僵尸 网 络 也 可 用 于 攻击 IRC(Internet Relay Chat, 互 联网 中 继 聊天 ) 网 络 , 流 行 的 攻击 
方式 是 所 谓 的 “克隆 攻击 ”, 在 这 种 攻击 中 ,控制 者 命令 每 个 僵尸 工具 连接 大 量 的 IRC 受害 
终端 。 被 攻击 的 IRC 服务 器 被 来 自 数 干 个 僵尸 工具 或 者 数 千 个 频道 的 请 求 所 兴 没 。 通 过 
这 种 方式 ,受到 攻击 的 IRC 网 络 可 被 类 似 于 DDoS 攻击 击 垮 。 

2) 发 送 垃圾 邮件 

有 些 僵尸 工具 会 在 一 台 已 感染 的 主机 上 打开 Socks 代理 ,然后 让 这 台 主 机 执行 很 多 恶 
毒 任 务 ,例如 发 送 垃圾 邮件 等 。 若 一 个 僵尸 网 络 中 有 上 千 个 僵尸 工具 ,攻击 者 就 可 以 发 送 大 
量 垃 圾 邮件 。 有 些 僵尸 工具 也 执行 特殊 的 功能 ,如 收集 电子 邮件 地 址 、 发 送 钓鱼 (phishing) 
邮件 等 。 

3) 信息 窃取 

僵尸 工具 也 可 用 数据 包 监 听 器 来 观察 通过 一 台 已 被 攻陷 主机 上 的 明文 数据 ,从 中 提取 
敏感 数据 ,例如 用 户 名 、 密 码 以 及 其 他 一 些 令 人 感 兴趣 的 数据 。 

如 果 被 攻陷 主机 使 用 加 密 的 通信 通道 ,也 可 以 安装 键盘 记录 器 来 获取 敏感 信息 。 

如 果 一 台 主 机 不 止 一 次 被 攻陷 并 属于 多 个 僵尸 网 络 , 包 监听 就 有 可 能 偷窃 .收集 另 一 个 
僵尸 网 络 的 关键 信息 。 
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4) 扩散 、 升 级 或 下 载 恶 意 软件 

由 于 所 有 的 僵尸 工具 都 可 以 通过 HTTP 或 者 FTP 下 载 并 执行 ,因此 非常 容易 被 用 于 
扩散 新 的 僵尸 工具 或 电子 邮件 病毒 。 一 个 拥有 一 万 台 用 于 扩散 电子 邮件 病毒 的 基础 主机 的 
僵尸 网 络 使 得 扩散 非常 快 并 且 造 成 极 大 的 危害 。 

5) 伪造 点 击 量 ,骗取 奖金 ,操控 网 上 投票 和 游戏 ,被 网 络 推手 作为 绑架 与 论 的 工具 

僵尸 网 络 也 可 被 用 于 获取 金钱 上 的 好 处 。 这 可 以 通过 在 主机 上 安装 一 个 有 广告 的 虚假 
网 站 ,网 站 的 操作 员 和 一 些 主机 公司 协商 给 点 击 广告 付费 。 在 僵尸 网 络 的 帮助 下 ,点 击 可 以 
自动 化 ,让 数 千 僵尸 工具 点 击 弹出 广告 。 如 果 僵 尸 工具 劫 持 了 攻陷 主机 的 起 始 页 面 , 当 受害 
者 使 用 浏览 器 的 时 候 点 击 就 被 执行 。 例 如 滥用 Google 的 AdSense 程序 就 是 一 个 很 典型 的 
骗取 奖金 的 实例 。 攻 击 者 可 以 滥用 AdSense 程序 ,通过 让 僵尸 网 络 以 自动 化 的 方式 点 击 
Google 中 的 某 些 广告 和 人 工 提高 点 击 数 。 

在 线 投票 和 游戏 越 来 越 引 起 人 们 的 注意 ,用 僵尸 网 络 来 操控 它们 比较 简单 。 由 于 每 个 
僵尸 工具 有 不 同 的 IP 地 址 ,每 一 票 与 真人 投 的 票 有 着 相同 的 可 信和 性 。 

网 络 推手 也 可 以 利用 僵尸 网 络 的 优势 , 滥 发 留言 ,绑架 社会 与 论 。 

6) 下 载 文件 

僵尸 工具 按照 黑客 的 指示 ,从 指定 主机 中 下 载 各 种 文件 。 

7) 启动 或 终止 进程 

僵尸 工具 按照 黑客 的 指示 ,启动 或 终止 指定 进程 。 


2. 僵尸 程序 及 其 传播 


第 一 个 僵尸 程序 是 1993 年 被 开发 出 来 的 EggDrop. bot, 用 于 管理 员 不 在 时 保护 聊天 频 
道 。1999 年 11 月 被 木马 SubSeven 2. 1 利用 ,成 功 地 运用 IRC 协议 控制 感染 了 SubSeven 
的 计算 机 。 僵 尸 网 络 就 是 以 此 为 开端 , 随 着 在 木马 中 大 量 应 用 而 形成 的 ,并 把 其 中 被 感染 了 
僵尸 的 计算 机 称 为 zombie。 

僵尸 程序 本 身 并 不 具 传 播 性 ,而 要 像 木 马 一 样 被 植 人 。 一 般 说 来 ,僵尸 程序 可 以 借助 如 
下 几 种 方式 传播 。 

1) 利用 系统 漏洞 

利用 系统 漏洞 是 一 种 主动 传播 方式 。 采 用 这 种 方式 传播 时 ,首先 要 用 某 种 扫描 工具 对 
一 定 范围 内 的 计算 机 进行 漏洞 扫描 :然后 获得 访问 权 , 并 在 Shellcode 执行 僵尸 程序 注入 代 
码 。 这 些 漏洞 多 数 都 是 缓存 区 溢出 漏洞 。 下 面 以 Slapper 为 例 , 简 单 描述 一 下 这 种 基于 
P2P 协议 的 僵尸 程序 的 传播 过 程 。 

(1) 感染 Slapper 的 主机 ,用 非法 的 GET 请 求 包 扫描 相 邻 网 段 的 主机 :希望 获得 主机 的 
指纹 (操作 系统 版 本 、Web 服务 器 版 本 ) 。 

(2) 一 旦 发 现 有 Apache SSL 缓存 溢出 漏洞 的 主机 :就 开始 发 动 攻击 。 攻 击 者 首先 在 建 
立 SSLv2 连接 时 ,故意 设置 一 个 过 大 的 参数 ,代码 没有 对 参数 做 边界 检查 ,并 复制 该 参数 到 
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一 个 堆 定位 的 SSL_SESSION 数据 结构 中 的 固定 长 度 缓冲 区 ,造成 缓冲 区 溢出 。 手 工 制作 
的 字段 是 缓存 溢出 的 关键 。 漏 洞 探 测 者 小 心 愤 于 地 覆盖 这 些 数 据 域 ,不 会 严重 影响 SSL 
握手 。 

2) 利用 邮件 、 即 时 消息 通信 携带 

这 与 传播 木马 .蠕虫 的 方法 相同 。 例 如 ,2005 年 性 感 鸡 (Worm. MSNLoveme) 爆 发 就 是 
通过 MSN 消息 传播 的 。 

3) 伪装 软件 

很 多 僵尸 程序 被 夹杂 在 P2P 共享 文件 .局域网 内 共享 文件 .免费 软件 .共享 软件 和 恶意 
网 站 脚本 中 ,通过 伪装 ,引诱 用 户 下 载 .打开 或 点 击 ,进行 僵尸 程序 传播 。 

4) 利用 蠕虫 携带 

将 僵尸 程序 隐藏 在 蠕虫 代码 中 进行 传播 。 


3. 僵尸 程序 与 黑客 之 间 的 通信 


僵尸 程序 与 黑客 之 间 的 通信 通常 采用 两 种 方法 。 

(1) 利用 已 有 的 通信 协议 ,例如 IRC 协议 、P2P 协议 .AOL(American Online, 美国 在 
线 ) 等 ,直接 加 以 利用 或 简单 改造 。 

(2) 定制 一 个 私有 协议 ,利用 公共 端口 进行 掩护 ,例如 利用 最 常用 的 80 端口 传递 私有 
协议 。 

4. 僵尸 网 络 的 形成 


bot 是 英文 单词 robot (机 器 人 ) 的 缩写 , 指 这 类 程序 可 以 自动 执行 预定 义 的 功能 ,甚至 
有 一 定 的 智能 交互 能 力 ,可 以 在 特定 情况 下 完成 操纵 者 赋予 的 特定 任务 。 

僵尸 程序 一 旦 被 植 入 ,就 会 自动 执行 ,主动 连接 到 黑客 在 僵尸 代码 中 指定 的 计算 机 。 这 
台 计 算 机 可 以 是 黑客 自己 的 计算 机 ,也 可 以 是 黑客 作为 跳板 的 计算 机 一 一 这 样 黑客 更 为 安 
全 。 这 样 ,僵尸 程序 就 可 以 与 黑客 依靠 一 定 的 协议 进行 通信 了 。 如 图 1. 46 所 示 , 当 黑客 用 
此 方法 控制 了 多 台 计 算 机 时 ,就 形成 了 一 个 僵尸 网 络 。 


5. 僵尸 网 络 的 加 入 


不 同类 型 的 僵尸 主机 ,加 入 僵尸 网 络 的 方式 也 不 同 , 下 面 以 基于 IRC 协议 的 僵尸 为 例 ， 
介绍 僵尸 主机 加 入 僵尸 网 络 的 过 程 。 

(1) 如 果 僵 尸 中 有 域名 , 先 解析 域名 ,通常 采用 动态 域名 。 

(2) 僵尸 主机 与 IRC 服务 器 建立 TCP 连接 。 为 增强 安全 性 ,有 的 IRC 服务 器 设置 了 
连接 密码 。 连 接 密码 在 TCP 三 次 握手 后 ,通过 PASS 命令 发 送 。 

(3) 僵尸 主机 与 IRC 服务 器 发 送 NICK 和 USER 命令 ,NICK 通常 有 一 个 固定 的 前 绥 ， 
如 CHN12345、LNtJ-15120、ph2-1234 ,前 绥 通 常 为 国家 简称 .操作 系统 版 本 等 。 

(4) 加 入 预定 义 的 频道 。 频 道 名 一 般 硬 编码 在 僵尸 程序 体内 ,为 增强 安全 性 ,有 的 控制 
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图 1.46 僵尸 网 络 的 形成 


者 为 频道 设 定 了 密码 。 中 国 国家 互联 网 应 急 中 心 (CNCERT/CC) 的 监测 数据 表明 ,规模 较 
大 (控制 1 万 台 以 上 计算 机 ) 的 僵尸 网 络 通 常设 置 了 频道 密码 ,但 设置 服务 器 连接 密码 的 伪 
尸 网 络 还 是 少数 。 


6. 黑客 对 于 僵尸 主机 的 控制 


僵尸 网 络 的 主人 必须 保持 对 僵尸 主机 的 控制 ,才能 利用 它们 完成 预定 的 任务 目标 。 下 
面 依然 以 IRC 僵尸 为 例 ,简单 描述 一 下 控制 主机 对 僵尸 主机 的 控制 过 程 。 

(1) 攻击 者 或 者 僵尸 网 络 的 主人 建立 控制 主机 。 大 多 数控 制 主 机 建立 在 公共 的 IRC 服 
务 上 ,这 样 做 是 为 了 将 控制 频道 做 得 隐蔽 一 些 。 也 有 少数 控制 主机 是 攻击 者 自己 单独 建 
立 的 。 

(2) 僵尸 主机 主动 连接 IRC 服务 器 ,加 入 到 某 个 特定 频道 。 此 过 程 在 上 面 已 经 介绍 了 。 

(3) 控制 者 (黑客 ) 主 机 也 连接 到 IRC 服务 器 的 这 个 频道 上 。 

(4) 控制 者 (黑客 ) 使 用 login、!1logon、!auth 等 命令 认证 自己 ,服务 器 将 该 信息 转发 给 
频道 内 所 有 的 僵尸 主机 ,僵尸 程序 将 该 密码 与 硬 编码 在 文件 体内 的 密码 比较 ,相同 则 将 该 用 
户 的 nick 名 称 记录 下 来 ,以 后 可 以 执行 该 用 户 发 送 的 命令 。 控 制 者 具有 channel op 权限 ， 
只 有 他 能 发 出 命令 。 


7. 主 控 者 向 僵尸 主机 发 布 命令 的 方法 


在 IRC 僵尸 网 络 中 , 主 控 者 向 僵尸 主机 发 送 的 命令 按照 要 求 僵尸 程序 实现 的 功能 可 以 
分 为 以 下 几 类 
。 僵尸 网 络 控制 命令 ; 
”扩散 传播 命令 ， 
。 信息 窃取 命令 ; 
。 下 载 与 更 新 命令 ; 
加 光芒 ,六 


。 主机 控制 命令 。 可 细 分 为 发 动 DDos 攻击 、 架 设 服务 、 发 送 垃圾 邮件 和 点 击 欺 诈 等 。 

基于 IRC 协议 , 主 控 者 向 受 控 僵 尸 程序 发 布 命令 的 方法 有 如 下 3 种 。 

(1) 设置 频道 主题 CTopic) 命 令 。 当 僵尸 程序 登录 到 频道 后 ,立即 接收 并 执行 这 条 频道 
主题 命令 。 

(2) 使 用 频道 或 单个 僵尸 程序 发 送 PRIVMSG 消息 。 这 种 方法 最 为 常用 , 即 通过 IRC 
协议 的 群 聊 和 私 聊 方式 向 频道 内 所 有 僵尸 程序 或 指定 僵尸 程序 发 布 命令 。 

(3) 通过 NOTICE 消息 发 送 命令 。 这 种 方法 在 效果 上 等 同 于 发 送 PRIVMSG 消息 ,但 
在 实际 情况 中 并 不 常见 。 


1.9 陷 门 攻击 


1.9.1 陷 门 及 其 分 类 


陷 门 (trap door) 也 称 后 门 , 是 一 种 利用 系统 脆弱 性 进行 重复 攻击 的 技术 ,通常 是 一 段 
非法 的 系统 操作 程序 代码 ,通过 它 可 以 在 系统 中 留 下 未 被 登记 的 秘密 入 口 , 它 使 得 知道 陷 门 
的 人 可 以 不 经 过 通常 的 安全 检查 访问 过 程 而 获得 访问 权 。 它 们 有 些 是 程序 员 为 了 进行 调试 
和 测试 而 预 留 的 一 些 特权 ;有 些 则 是 入 侵 者 在 完成 人 侵 目 标 后 ,为 了 能 够 继续 保持 对 系统 的 
访问 特权 而 采用 的 一 些 技术 。 所 以 陷 门 可 以 看 作 人 为 漏洞 。 

陷 门 一 般 有 如 下 一 些 技术 或 功能 特征 : 

(1) 陷 门 通常 寄生 于 某 些 程序 (有 宿主 ) ,但 无 自我 复制 功能 。 

(2) 陷 门 可 以 在 系统 管理 员 采 取 了 增强 系统 安全 措施 (如 改变 所 有 密码 ) 的 情况 下 , 照 
样 进入 系统 。 

(3) 陷 门 可 以 使 攻击 者 以 最 短 的 时 间 再 次 进入 系统 ,而 不 是 重新 挖掘 漏洞 。 

(4) 许多 陷 门 可 以 绕 过 注册 直接 进入 系统 ,或 者 帮助 攻击 者 隐藏 其 在 系统 中 的 一 举 
一 动 。 

(5) 陷 门 可 以 把 再 次 人 侵 被 发 现 的 可 能 性 降 至 最 低 。 

下 面 从 不 同 的 角度 对 陷 门 进行 分 类 讨论 。 

1. 账户 与 注册 陷 门 

1) Login 隐 门 

在 UNIX 中 ,Login 程序 常用 来 对 通过 远程 登录 来 的 用 户 进 行 口 令 验 证 。 入 侵 者 获取 
Login 的 源 代码 并 修改 ,使 它 在 比较 输入 口令 与 存储 口令 时 先 检查 陶 门 口令 。 当 入 侵 者 输 
入 人 陷 门 口令 后 ,Login 程序 将 忽视 管理 员 设 置 的 口令 而 让 入 侵 者 长 驱 直 和 人 入。 使 用 这 种 方 
法 ,人 侵 者 可 以 进入 任何 账号 ,甚至 是 root 目录 。 

2) 密码 破解 陷 门 

这 是 入 侵 者 使 用 的 最 老 的 方法 。 通 常 , 入 侵 者 寻找 口令 薄弱 的 未 被 使 用 的 账号 进行 破 
解 ,之 后 将 口令 改 得 难 一 些 , 形 成 一 些 新 账号 。 这 些 新 账号 将 成 为 重新 侵入 的 后 门 。 当 管理 
员 寻 找 口令 薄弱 的 账号 时 ,也 不 会 发 现 这 些 密码 已 修改 的 账号 。 因 而 管理 员 很 难 确定 查封 
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哪个 账号 。 

3) 超级 账户 陷 门 

超级 账户 (Administrator,Admin) 是 系统 安全 的 宝贵 资源 。 和 人 侵 者 一 旦 可 以 创建 这 样 
的 账号 ,就 可 以 拥有 很 大 的 权力 。 在 Windows NT/2000 上 可 以 使 用 下 面 的 命令 创建 本 地 
特权 账号 : 


net user <username><password> /ADD 


net localgroup <groupname><username> /ADD 


在 UNIX 下 ,在 口令 文件 中 增加 一 个 UID 为 0 的 账户 ,是 创建 超级 账户 的 最 简单 方法 。 

4) rhosts 十 十 陷 门 

在 联网 的 UNIX 机 器 中 , 像 Rsh 和 Rlogin 这 样 的 服务 是 基于 rhosts 的 。 入 侵 者 只 要 
向 可 以 访问 的 用 户 的 rhosts 文件 中 输入 十 十 :就 可 以 允许 任何 人 从 任何 地 方 进 入 这 个 账 
户 。 这 些 账户 也 成 了 人 侵 者 再 次 侵入 的 陷 门 。 


2. 通信 与 连接 陷 门 


1) 网 络 通信 陷 门 

入 侵 者 不 仅 想 隐匿 在 系统 里 的 痕迹 ,而 且 也 要 隐匿 他 们 的 网 络 通信 后 门 。 这 些 网 络 通 
信和 后 门 有 时 允许 人 侵 者 通过 防火 墙 进行 访问 。 有 许多 网 络 后 门 程序 允许 人 侵 者 建立 某 个 端 
口号 ,并且 不 通过 普通 服务 就 能 实现 访问 。 因 为 这 是 通过 非 标 准 网 络 端口 的 通信 ,管理 员 可 
能 忽视 入 侵 者 的 足迹 。 这 种 后 门 通 常 使 用 ICP、UDP 和 ICMP, 但 也 可 能 是 其 他 类 型 的 
报 文 。 

2) TCP Shell 陷 门 

TCP Shell 陷 门 建立 在 防火 墙 没 有 阻塞 的 高 位 TCP 端口 ,例如 ,可 能 建立 在 SMTP 端 
口 ,因为 很 多 防火 墙 允许 E-mail 通过 。TCP Shell 后 门 可 以 让 入 侵 者 躲 过 TCP Wrapper 技 
术 。 这 些 端口 在 许多 情况 下 受 口 令 保护 ,以 防 管理 员 连 接 后 察觉 。 

3) UDP Shell 陷 门 

UDP 是 无 连接 的 ,管理 员 不 会 像 观 察 TCP 连接 的 怪异 情况 那样 发 现 它 , 因 而 不 能 用 
netstat 显示 入 侵 者 的 访问 痕迹 。 所 以 入 侵 者 通常 将 UDP Shell 后 门 放 置 在 DNS 端口 , 因 
为 许多 防火 墙 设置 成 允许 类 似 DNS 的 UDP 报 文 的 通行 。 

4) ICMP Shell 陷 门 

由 于 许多 防火 墙 允许 外 部 ping 内 部 的 主机 ,所 以 入 侵 者 可 以 将 数据 放 入 ping 的 ICMP 
包 , 在 ping 的 主机 间 形 成 一 个 Shell 通道 。 虽 然 管理 员 也 许 会 注意 到 ping 包 , 但 他 不 查看 
包 内 数据 就 不 会 了 解 哪 些 是 入侵 者 的 数据 包 。 

5) Telnet 陷 门 

当 用 户 通过 Telnet 连接 到 系统 后 ,监听 端口 的 inetd 服务 会 接受 连接 并 传递 给 in. 
telnetd, 由 它 运行 login。 一 些 入 侵 者 知道 管理 员 会 检查 login 是 否 被 修改 ,就 着 手 修改 in. 
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telnetd。 在 in. telnetd 内 部 有 一 些 对 用 户 信息 的 检验 ,比如 用 户 使 用 了 何 种 终端 。 和 人 侵 者 
可 以 对 某 些 服务 做 这 样 的 后 门 , 对 来 自 特定 源 端 口 的 连接 产生 一 个 不 要 任何 验证 的 Shell。 

6) 校 验 和 及 时 间 截 陷 门 

早期 ,许多 人 侵 者 用 自己 的 木马 程序 蔡 代 二 进 制 文件 ,系统 管理 员 便 依靠 时 间 堆 和 系统 
校 验 和 的 程序 辨别 一 个 二 进 制 文件 是 否 已 被 改变 ,如 UNIX 里 的 sum 程序 。 为 此 ,入 侵 者 
又 开发 了 使 木马 文件 和 原文 件 时 间 戳 同步 的 新 技术 。 它 是 这 样 实现 的 : 先 将 系统 时 钟 拨 回 
到 原文 件 时 间 ,然后 调整 木马 文件 的 时 间 为 系统 时 间 。 一 旦 二 进 制 木 马 文 件 与 原文 件 精 确 
同步 ,就 可 以 把 系统 时 间 设 回 当前 时 间 。 例 如 sum 程序 是 基于 CRC 校 验 的 ,很 容易 骗 过 。 
另外 ,入 侵 者 设计 出 了 可 以 将 木马 的 校 验 和 调整 到 原文 件 的 校 验 和 的 程序 。 不 过 ,MD5( 见 
第 2 章 ) 是 被 大 多 数 人 推荐 的 ,MD5 使 用 的 算法 目前 还 没 人 能 骗 过 。 


3. 隐匿 陷 门 


1) 隐匿 进程 陷 门 

入 侵 者 通常 想 隐 匿 他 们 运行 的 程序 。 这 样 的 程序 一 般 是 口令 破解 程序 和 监听 程序 
(sniffer)。 有 许多 办 法 可 以 实现 他 们 的 目的 , 较 通 用 的 有 以 下 几 种 方法 : 

。 编写 程序 时 修改 自己 的 argv, 使 它 看 起 来 像 其 他 进程 名 。 

。 将 监听 程序 改名 再 执行 。 

。 修改 库 函 数 致使 ps 不 能 显示 所 有 进程 。 

。 将 一 个 后 门 或 程序 苦 入 中 断 驱动 程序 ,使 它 不 会 在 进程 表 中 显现 。 

2) 文件 系统 陷 门 

入 侵 者 常 要 在 服务 器 上 存储 他 们 的 掠夺 品 或 数据 ,不 希望 被 管理 员 发 现 。 人 侵 者 的 文 
件 一 般 有 exploit 脚本 工具 、 陷 门 集 .sniffer 日 志 、E-mail 的 备份 和 源 代 码 等 。 为 了 防止 管理 
员 发 现 这 些 文件 ,入 侵 者 须要 修补 ls、du 和 fsck 以 隐匿 特定 的 目录 和 文件 。 在 很 低 的 级 别 ， 
入 侵 者 制作 这 样 的 漏洞 : 以 专 有 的 格式 在 硬盘 上 制 出 一 部 分 , 且 表 示 为 坏 的 扇 区 ,使 管理 人 
员 难 发 现 这 些 “ 坏 扇 区 ”里 的 文件 。 

3) 共享 库 陷 门 

几乎 所 有 的 UNIX 系统 都 使 用 共享 库 , 并 且 管 理 员 很 少 检查 这 些 库 , 因 此 一 些 人 侵 者 
在 crypt. c 和 _crypt. c 等 函数 里 做 了 陷 门 。 

4) Cronjob 陷 门 

UNIX 上 的 Cronjob 可 以 按时 间 表 调度 特定 程序 的 运行 。 例 如 入 侵 者 可 以 加 入 陷 门 
Shell 程序 ,使 它 在 深夜 1 一 2 点 和 运行。 那么 每 晚 有 一 个 小 时 可 以 获得 访问 ,也 可 以 查看 
Cronjob 中 经 常 运行 的 合法 程序 ,同时 植 人 后 门 。 

5) 内 核 陷 门 

内 核 陷 门 可 以 使 库 躲 过 高 级 校 验 , 甚 至 连 静 态 连接 也 大 多 不 能 识别 。 

6) Boot 块 陷 门 

一 些 人 侵 者 将 一 些 陷 门 留 在 根 区 ,因为 在 UNIX 下 多 数 管理 员 不 检查 根 区 的 软件 。 
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7) 网 络 服务 陷 门 

网 络 服务 陷 门 是 以 服务 方式 启动 陷 门 或 把 陷 门 放置 在 服务 程序 有 关 的 文件 中 。 例 如 在 
Windows NT 中 ,可 以 采用 以 服务 方式 启动 陷 门 程序 ,使 陷 门 随 系统 运行 而 自动 启动 。 这 样 
会 给 攻击 者 带 来 手工 不 易 删 除 和 隐藏 性 好 的 好 处 。 在 UNIX 中 ,由 于 系统 管理 员 在 一 般 情 
况 下 不 经 常 检 查 超 级 服务 器 守护 进程 (inetd), 因 此 这 些 配置 文件 就 成 为 放置 陷 门 的 好 
塌方 : 


1.9.2 一 些 常见 陷 门 工具 


下 面 是 黑客 常用 的 创建 陷 门 的 工具 : 

。 rootkit .cron ,at、secadmin 、Invisible Keystoke remove. exe .rc(UNIX); 
。 Windows 启动 文件 夹 ; 

。 sub7(http://www. sub7. net); 

。 Netcat(http://www.atstake. com/research/tools); 

。 VNC(http://www. alvnc. com); 

。 BO2K(http://www. sourceforge. net/projects/ bo2k)。 


1.9.3 黑客 及 其 攻击 过 程 


“黑客 ”一 词 是 对 于 网 络 攻击 者 的 统称 。 一 般 说 来 .黑客 是 一 个 精通 计算 机 技术 的 特殊 
群体 。 从 攻击 的 动机 看 ,可 以 把 黑客 分 为 3 类 : 一 类 称 为 “侠客 ”Hacker) ,他 们 多 是 好 奇 者 
和 爱 出 风头 者 ;一 类 称 为 " 骇 客 "Crackers) ,他 们 是 一 些 不 负责 的 恶作剧 者 ;一 类 称 为 "人 侵 
者 ”Intruder) ,他 们 是 有 目的 的 破坏 者 。 随 着 Internet 的 普及 ,黑客 的 活动 日 益 猩 狐 , 造 成 
了 巨大 的 损失 。 

黑客 进行 网 络 信 息 系统 攻击 的 主要 工作 流程 是 : 收集 情报 、 远 程 攻击 、 远 程 登 录 、 取 得 
权限 、 留 下 后 门 、 清 除 日 志 , 主 要 内 容 包 括 目 标 分 析 、 文 档 获 取 、 破 解密 码 .日 志清 除 等 。 这 些 
内 容 都 包括 在 黑客 攻击 的 3 个 阶段 一 一 准备 阶段 实施 阶段 和 善后 阶段 中 。 


1. 攻击 的 准备 阶段 


(1) 确定 目的 。 一 般 说 来 ,入 侵 者 进行 攻击 的 目的 主要 有 3 种 类 型 : 破坏 型 .获取 型 和 
恶作剧 型 。 破 坏 型 攻击 指 破坏 攻击 目标 ,使 其 不 能 正常 工作 ,主要 的 手段 是 拒绝 服务 攻击 
(DoS) 。 获 取 型 主要 是 窃取 有 关 信 息 ,或 获取 不 法 利益 。 恶 作 剧 型 则 是 进来 负 外 ,以 显示 自 
己 的 能 耐 。 目 的 不 同 , 所 采用 的 手段 就 不 同 。 

(2) 踩点 , 即 寻 找 目标 。 

(3) 查 点 。 搜 索 目 标 上 的 用 户 、 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资源 、 服 务 程序 及 
旗 标 等 信息 。 

(4) 扫描 。 自 动 检测 计算 机 网 络 系统 在 安全 方面 存在 的 可 能 被 黑客 利用 的 脆弱 点 。 

(5) 模拟 攻击 。 进 行 模 拟 攻击 ,测试 对 方 反 应 , 找 出 毁灭 人 侵 证 据 的 方法 。 
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2. 攻击 的 实施 阶段 


(1) 获取 权限 。 获 取 权 限 往往 是 利用 漏洞 进行 的 。 系 统 漏洞 分 为 远程 漏洞 和 本 地 漏洞 
两 种 ,远程 漏洞 是 指 黑客 可 以 在 别 的 主机 上 直接 利用 该 漏洞 进行 攻击 并 获取 一 定 的 权限 。 
这 种 漏洞 的 威胁 性 相当 大 ,黑客 的 攻击 一 般 都 是 从 远程 漏洞 开始 的 。 但 是 利用 远程 漏洞 获 
取 的 不 一 Eee 而 往往 只 是 一 个 普通 用 户 的 权限 ,这样 常常 没有 办 法 做 黑客 们 想 要 
做 的 事 。 这 时 就 需要 配合 本 地 漏洞 来 把 获得 的 权限 进行 扩大 ,常常 是 扩大 至 系统 的 管理 员 
权限 。 

(2) 权限 提升 。 有 时 获得 了 一 般 用 户 的 权限 就 足以 达到 修改 主页 等 目的 了 ,但 只 有 获 
得 了 最 高 的 管理 员 权 限 之 后 , 才 可 以 做 诸如 网 络 监听 打扫 痕迹 之 类 的 事情 。 要 完成 权限 的 
扩大 ,不 但 可 以 利用 已 获得 的 权限 在 系统 上 执行 利用 本 地 漏洞 的 程序 ,还 可 以 放 一 些 木马 之 
类 的 欺骗 程序 来 套 取 管 理 员 密码 ,这 种 木马 是 放 在 本 地 套 取 最 高 权限 用 的 ,而 不 能 进行 远程 
控制 。 

(3) 实施 攻击 。 如 对 一 些 敏 感 数据 的 算 改 、 添 加 、 删 除 和 复制 ,以 及 对 敏感 数据 的 分 析 ， 
或 者 使 系统 无 法 正常 工作 。 


3. 攻击 的 善后 工作 


(1) 修改 日 志 。 如 果 攻 击 者 完成 攻击 后 就 立刻 离开 系统 而 不 做 任何 善后 工作 ,那么 他 
的 行踪 将 很 快 被 系统 管理 员 发 现 , 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记 录 功 能 ,会 把 
系统 上 发 生 的 动作 记录 下 来 。 为 了 自身 的 隐蔽 性 ,黑客 一 般 都 会 抹 掉 自己 在 日 志 中 留 下 的 
痕迹 。 为 了 能 抹 掉 痕迹 ,攻击 者 要 知道 常见 的 操作 系统 的 日 志 结构 以 及 工作 方式 。 

(2) 设置 后 门 。 一 般 黑客 都 会 在 攻 人 系统 后 不 只 一 次 地 进入 该 系统 。 为 了 下 次 再 进入 
系统 时 方便 一 点 ,黑客 会 留 下 一 个 后 门 ,特洛伊 木马 就 是 后 门 的 最 好 范例 。 

(3) 进一步 隐匿 。 只 修改 日 志 是 不 够 的 ,因为 百 密 必 有 一 玻 , 即 使 自 认 为 修改 了 所 有 的 

志 ,仍然 会 留 下 一 些 蛛丝马迹 。 例 如 安装 了 某 些 后 门 程序 ,运行 后 也 可 能 被 管理 员 发 现 。 

所 以 ,黑客 通过 替换 一 些 系 统 程序 的 方法 来 进一步 隐藏 踪迹 。 这 种 用 来 替换 正常 系统 程序 
的 黑客 程序 叫做 rootkit, 这 类 程序 在 一 些 黑客 网 站 可 以 找到 ,比较 常见 的 有 LinuxRootKit， 
现在 已 经 发 展 到 了 5.0 版 本 了 。 它 可 以 替换 系统 的 ls、ps、netstat、inetd 等 一 系列 重要 的 系 
统 程序 , 当 替 换 了 1s 后 ,就 可 以 隐藏 指定 的 文件 :使 得 管理 员 在 使 用 1s 命令 时 无 法 看 到 这 些 
文件 ,从 而 达到 隐藏 自己 的 目的 。 


1.10 ”信息 系统 风险 与 安全 策略 


1.10.1 风险 = 脆弱 性 十 威胁 


系统 风险 是 指 系统 遭受 意外 损失 的 可 能 性 , 它 主 要 来 自 系 统 可 能 遭受 的 各 种 威胁 、 系 统 
本 身 的 脆弱 性 以 及 系统 对 于 威胁 的 失策 。 
人 


风险 与 系统 本 身 的 脆弱 性 (漏洞 ) 的 高 低 和 外 部 威 高 
腑 的 高 低 有 关 。 也 就 是 说 ,风险 是 威胁 和 漏洞 的 综合 
结果 。 图 1. 47 表明 了 这 种 关系 : 风险 二 威胁 十 脆弱 
性 。 即 没有 威胁 ,就 不 会 有 风险 ;同样 ,没有 脆弱 性 ,也 


不 会 有 风险 。 路 中 ee 
对 威胁 和 脆弱 性 进行 综合 ,可 以 将 风险 分 为 低 、 
中 、 高 3 个 级 别 。 pe 
(1) 低 风险 。 当 系统 具有 较 低 的 脆弱 性 或 者 面临 低 - 
较 低 的 威胁 时 ,其 安全 将 处 于 低 风 险 级 别 。 ee 
C2) 中 等 风险 。 当 系统 具有 中 等 的 脆弱 性 或 者 面 ”图 1.47 风险 与 脆弱 性 -威胁 的 关系 


临 中 等 的 威胁 时 ,其 安全 将 处 于 中 等 风险 级 别 。 
(3) 高 风险 。 当 系统 具有 和 较 高 的 脆弱 性 并 且 面临 较 高 的 威胁 时 ,其 安全 将 处 于 高 风险 
级 别 。 


1. 信息 系统 脆弱 性 的 表现 


信息 系统 的 脆弱 性 表现 为 安全 漏洞 (也 称 bug)。 如 前 所 述 , 计 算 机 的 安全 漏洞 是 全 方 
位 的 ,也 是 动态 的 。 下 面 介 绍 几 个 主要 的 方面 。 

1) 芯片 的 脆弱 性 

安全 漏洞 不 仅 存 在 于 软件 之 中 ,还 存在 于 硬件 之 中 :特别 是 芯片 中 也 可 能 存在 漏洞 。 
1997 年 法 新 社 在 一 篇 报道 中 就 引用 了 Intel 公司 发 言 人 汤姆 . 沃 尔 德 的 一 段 话 :“ 我 们 已 经 
确认 奔腾 和 具有 多 媒体 扩展 (MMX) 技 术 的 奔腾 处 理 器 芯片 存在 一 处 新 的 缺陷 .这 个 缺陷 
导致 当 操作 者 取得 特权 发 出 一 个 特殊 指令 时 ,系统 将 会 死机 。 

2) 操作 系统 安全 漏洞 

操作 系统 是 对 计算 机 系统 的 软 硬 件 资源 进行 管理 .控制 的 大 型 综合 软件 ,是 计算 机 系统 
运行 的 基础 ,操作 系统 的 不 安全 是 计算 机 系统 不 安全 的 重要 原因 。 根 据 国 际 权威 组 织 
SANS 和 FBI 于 2003 年 公布 的 安全 漏洞 报告 ,在 Internet 的 安全 漏洞 中 , 排 在 前 20 名 的 几 
乎 都 是 操作 系统 的 漏洞 。 

从 理论 上 说 ,任何 实际 运行 的 操作 系统 都 会 有 各 自 的 漏洞 。 下 面 列 举 操作 系统 的 脆弱 
性 的 一 些 共性 方面 : 

(1) 后 门 式 漏洞 。 后 门 ,或 称 陷 门 (Ctrap doors) ,是 一 种 操作 系统 的 无 口令 入 口 ,由 一 段 
程序 实现 ,通常 是 系统 开发 者 为 调试 测试、 维修 而 设置 的 简便 人 口 。 例 如 ,在 特定 的 时 间 按 
下 特定 的 键 或 提供 特定 的 参数 ,就 会 对 预定 的 事件 或 事件 序列 产生 非 授权 的 影响 。 后 门 的 
发 现 是 非常 困难 的 。 因 此 ,攻击 者 也 常 挖 空心 思 地 设计 后 门 形成 隐蔽 的 信道 监视 系统 运行 
或 伺机 对 系统 发 起 攻击 。 例 如 ,操作 系统 提供 的 调试 器 (debug)、 向 导 (wizard) 以 及 daemon 
软件 ,都 有 可 能 被 攻击 者 利用 进入 系统 。 

(2) 补丁 式 漏洞 。 操 作 系 统 支 持 动态 连接 。 因 此 ,操作 系统 才 可 以 动态 地 安装 1O 驱 
动 程序 和 其 他 系统 服务 ,也 才能 通过 打 补 丁 的 方式 修补 安全 漏洞 。 当 然 :也 就 为 攻击 者 提供 

和 


了 用 打 补 丁 的 方式 来 破坏 系统 的 便利 。 

(3) 远程 创建 进程 式 漏洞 。 操 作 系统 允许 远程 进程 的 创建 和 激活 。 由 于 被 创建 的 进程 
可 以 继承 创建 进程 的 权力 ,就 为 攻击 者 在 远程 安装 攻击 软件 提供 了 可 能 。 例 如 ,攻击 者 可 以 
在 远程 把 补丁 打 在 一 个 特权 用 户 上 ,使 用 这 种 特权 对 系统 进行 攻击 。 

3) 数据 库 的 安全 脆弱 性 

当前 数据 库 系 统 设 计时 主要 考虑 的 内 容 是 数据 的 共享 性 一 致 性 、 完 整 性 和 访问 的 可 控 
制 性 ,对 于 安全 的 考虑 较 少 。 这 使 数据 库 系 统 表现 得 比较 脆弱 。 例 如 : 

。 数据 库 中 存放 着 大 量 数据 。 这 些 数据 中 重要 性 、 机 密 性 各 不 相同 ,而 它们 却 要 被 不 

同 职责 和 权力 的 用 户 共享 ,这 是 十 分 不 安全 的 。 

。 数据 库 数据 的 共享 性 可 能 导致 一 个 用 户 对 数据 的 修改 影响 了 其 他 用 户 的 正常 使 用 。 

。 数据 库 一 般 不 保存 历史 数据 ,一 个 数据 被 修改 , 旧 值 就 被 破坏 。 

。 联机 数据 库 可 以 被 多 用 户 共 享 ,可 能 会 造成 多 个 用 户 操作 而 使 数据 的 完整 性 受到 

破坏 。 

4) 计算 机 网 络 的 安全 脆弱 性 

计算 机 网 络 是 通信 技术 与 计算 机 技术 相 结 合 的 产物 , 它 的 脆弱 性 主要 表现 在 如 下 几 个 
方面 : 

(1) 传输 中 的 脆弱 性 。 如 电磁 辐射 . 串 音 干扰 等 。 

(2) 网 络 体系 结构 的 开放 性 带 来 的 脆弱 性 。 一 个 计算 机 网 络 要 连接 多 个 用 户 , 这 本 身 
就 是 一 个 不 安全 因素 。 特 别 是 对 于 目前 已 经 普遍 使 用 的 TCP/IP 来 说 ,由 于 当初 主要 考虑 
的 是 网 络 互联 和 传输 效率 的 问题 ,没有 很 好 地 解决 安全 问题 ,所 以 安全 的 薄弱 环节 较 多 。 

(3) 网 络 服务 的 安全 脆弱 性 。 例 如 Web 服务 FTP 服务 .电子 邮件 服务 .DNS 服务 .路 
由 服务 和 Telnet 服务 等 都 分 别 存在 自己 的 漏洞 或 安全 问题 。 


2. 信息 系统 威胁 手段 


对 于 信息 系统 的 威胁 有 许多 方法 或 手段 。 下 面 是 几 种 主要 的 威胁 方法 。 

1) 信息 窃取 

信息 窃取 的 主要 途径 有 以 下 几 个 : 

(1) 在 传输 中 被 利用 电磁 辐射 或 搭 接 线路 的 方式 窃取 。 

(2) 授权 者 向 未 授权 者 泄露 。 例 如 一 个 公司 职员 用 文件 名 传输 公司 的 秘密 文件 的 同 
时 ,对 文件 名 编码 ,使 公司 的 正常 秘密 文件 传输 信道 被 乱用 为 隐蔽 的 泄密 信道 。 

(3) 存储 设备 被 盗窃 或 盗用 。 

(4) 未 授权 者 利用 特定 的 工具 捕获 网 络 中 的 数据 流量 流向、 通行 频带 和 数据 长 度 等 数 
据 并 进行 分 析 , 从 中 获取 敏感 信息 。 

2) 扫描 (scan) 

扫描 是 利用 特定 的 软件 工具 向 目标 发 送 特 制 的 数据 包 , 对 响应 进行 分 析 , 以 了 解 目 标 网 
络 或 主机 的 特征 。 
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3) 入 侵 Cintrusion) 

入 侵 即 非 授 权 访 问 ,是 指 没有 经 过 授权 (同意 ) 就 获得 系统 的 访问 权限 或 特权 ,对 系统 进 
行 非 正常 访问 ,或 擅自 扩大 访问 权限 越权 访问 系统 信息 。 主 要 的 非 授 权 访 问 形式 有 以 下 
几 种 : 

(1) 旁 路 控制 。 攻 击 者 利用 系统 漏洞 绕 过 系统 的 访问 控制 而 渗入 系统 内 部 。 

(2) 假冒 。 某 个 未 经 授权 的 实体 通过 出 示人 伪造 的 凭证 骗取 某 个 系统 的 信任 ,非法 取得 
系统 访问 权 或 得 到 额外 的 特权 。 

(3) 口令 破解 。 利 用 专门 的 工具 穷 举 或 猜测 用 户口 令 。 

(4) 合法 用 户 的 非 授 权 访 问 。 合 法 用 户 进 入 系统 后 擅自 扩大 访问 权限 或 越权 访问 。 

4) 拒绝 服务 (DoS) 

Dos 指 系统 可 用 性 因 服 务 中 断 而 遭 到 破坏 。Dos 攻击 常常 通过 用 户 进程 消耗 过 多 的 系 
统 资源 造成 系统 阻塞 或 瘫痪 。 

5) 抵赖 (否认 ) 

通信 一 方 由 于 某 种 原因 而 实施 的 下 列 行为 都 称 为 抵赖 : 

。 发 方 事 后 否认 自己 曾经 发 送 过 某 些 消息 。 
。 收 方 事后 否认 自己 曾经 收 到 过 某 些 消息 。 
。 发 方 事后 否认 自己 曾经 发 送 过 某 些 消息 的 内 容 。 
。 收 方 事 后 否认 自己 曾经 收 到 过 某 些 消息 的 内 容 。 

6) 混用 (misuse) 

滥用 泛 指 一 切 对 信息 系统 产生 不 良 影响 的 活动 。 主 要 有 以 下 几 种 : 

(1) 传播 恶意 代码 。 恶 意 代 码 是 一 些 对 于 系统 有 副作用 的 代码 。 它 们 或 者 独立 存在 
如 蜂 虫 ) 或 者 依附 于 其 他 程序 (如 病毒 .特洛伊 木马 .逻辑 炸弹 等 ) ,通过 大 量 复 制 消耗 系统 
资源 ,或 进行 删除 、 修 改 等 破坏 性 操作 ,或 执行 窃取 敏感 数据 的 任务 。 

(2) 复制 / 重 放 。 攻 击 者 为 了 达到 混淆 视听 扰乱 系统 的 目的 ,常常 先 记 录 系 统 中 的 合 
法 信息 ,然后 在 适当 的 时 候 复制 重 放 ,使 系统 难 辩 真 伪 。 例 如 ,C 实体 截获 了 B 实体 发 往 A 
实体 的 订单 ,然后 重复 地 向 A 发 送 复制 的 订单 ,使 得 A 的 工作 出 现 混乱 。 

(3) 发 布 或 传播 不 良 信息 。 如 发 布 垃圾 邮件 ,传播 包括 色情 、 暴 力 、. 毒 品 `. 那 教 和 赌博 等 
内 容 的 信息 。 

上 述 这 些 威胁 可 以 进一步 归结 为 如 下 3 类 : 

(1) 窃听 攻击 。 

(2) 恶意 代码 (malicious code) 攻 击 或 恶意 程序 (malicious program) 攻 击 . 包 括 前 面 介 
绍 过 的 病毒 (virus) .蠕虫 (worm) ,特洛伊 木马 (Trojan horse)、 陷 门 Ctrap doors) .僵尸 (bot) 
等 ,还 包括 逻辑 炸弹 (logic bomb) 、 细 菌 (germ) 、 恶 意 广告 以 及 各 种 黑客 工具 。 

(3) 黑客 攻击 。 
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3. 信息 系统 风险 损失 

1) 信息 资源 损失 

(1) 机 密 性 Cconfidentiality) 损 失 。 数 据 在 传输 或 存储 时 有 被 非法 截取 的 可 能 ,就 会 形 
成 机 密 性 威胁 。 例 如 被 监听 、 被 分 析 等 。 提 高 信息 机 密 性 的 方法 有 数据 加 密 、 进 行 访问 控制 
以 及 对 访问 者 进行 身份 验证 等 ,以 保证 数据 不 被 非 授 权 者 知晓 。 

(2) 完整 性 (integrity) 损 失 。 指 数据 在 传输 或 存储 过 程 中 被 算 改 、 被 丢失 、 被 破坏 的 可 
能 。 为 了 保护 数据 完整 性 ,可 以 进行 数据 的 完整 性 校 验 以 及 认证 等 ,可 以 发 现 数据 是 否 被 算 
改 ,进而 可 以 进行 数据 的 恢复 。 

(3) 可 用 性 (availability) 损 失 。 指 保障 合法 用 户 正常 使 用 信息 的 能 力 受 到 的 威胁 。 例 
如 ,拒绝 访问 攻击 导致 了 合法 用 户 正 常 访问 信息 资源 的 能 力 丧 失 。 

(4) 真实 性 (authenticity) 损 失 。 真 实 性 主要 是 指 接 收 方 所 具有 的 辨认 假冒 和 抗拒 否认 
的 能 力 。 

信息 资源 损失 可 以 进一步 归结 为 如 下 3 类 : 

(1) 信息 破坏 。 非 法 取得 信息 的 使 用 权 , 删 除 、 修 改 、 插 入 、 恶 意 添加 或 重 发 某 些 数据 ， 
以 影响 正常 用 户 对 信息 的 正常 使 用 。 

(2) 信息 泄密 。 故 意 或 偶然 地 非法 侦 听 、 截 获 ` 分 析 某 些 信息 系统 中 的 信息 ,造成 系统 

(3) 假冒 或 否认 。 假冒 某 一 可 信任 方 进行 通信 或 者 对 发 送 的 数据 事后 予以 否认 。 

2) 系统 损失 

(1) 系统 被 非法 访问 。 

(2) 造成 通信 线路 .计算 机 网 络 以 及 主机 、 光 盘 .磁盘 等 系统 实体 运行 不 正常 或 次 疯 , 开 
失 可 用 性 。 


1.10.2 信息 系统 安全 策略 


安全 策略 是 控制 和 管理 主体 对 客体 访问 时 ,为 安全 目的 而 制定 的 一 组 规则 和 目标 约束 ， 
以 及 为 达到 安全 目的 采取 的 步 又 。 安 全 策略 可 以 反映 一 个 组 织 或 一 个 系统 的 安全 需求 。 信 
息 安 全 策略 的 制定 应 以 信息 系统 为 对 象 ,根据 风险 分 析 确 立 安 全 方针 ,并 依照 这 个 方针 来 制 
定 相应 的 策略 。 下 面 是 中 国信 息 安全 产品 评测 认证 中 心 提出 的 系统 一 般 采 取 的 安全 策略 ， 
供 安全 管理 人 员 制 定 系统 安全 策略 时 参考 。 具 体制 定 系统 的 安全 策略 时 ,可 以 根据 风险 分 
析 ,从 中 选择 必要 的 内 容 , 同 时 根据 需求 追加 一 部 分 内 容 。 


1. 基于 数据 资源 安全 的 保护 策略 


数据 安全 保护 目标 有 以 下 3 个 : 
(1) 机 密 性 Cconfidentiality) 保 护 ,就 是 保护 信息 (数据 ) 不 被 非法 泄露 或 不 泄露 给 那些 
未 授权 掌握 这 一 信息 的 实体 。 
(2) 完整 性 (integrity) 保 护 , 就 是 保护 信息 (数据 ) 不 被 未 授权 的 自 改 ,或 被 非法 自 改 后 
有 被 恢复 的 能 力 。 
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(3) 拒绝 否认 性 (no-repudiation) 保 护 ,也 称 不 可 抵赖 性 或 不 可 否认 性 保护 ,就 是 通信 双 
方 不 能 抵赖 或 否认 已 经 完成 的 操作 或 承诺 。 

针对 这 些 目标 ,通常 采用 如 下 策略 : 

(1) 数据 隐藏 ,隐蔽 数据 的 可 见 性 。 

(2) 数据 加 密 ,隐蔽 数据 的 可 读 性 ,使 攻击 者 即使 获得 了 数据 也 难于 知道 其 真实 内 容 。 

(3) 数字 认证 。 具 体 手 段 包括 数字 签名 和 数据 公证 。 

(4) 数据 容错 、 数 据 容 灾 和 数据 备份 。 以 便 数 据 资源 被 自 改 .被 破坏 .被 丢失 后 ,能 及 时 
恢复 。 


2. 基于 系统 安全 的 保护 策略 


信息 系统 安全 保护 目标 如 下 : 

(1) 可 用 性 Cavailability) 保 护 ,就 是 确保 授权 用 户 在 需要 时 可 以 正确 地 访问 系统 中 的 数 
据 。 为 此 要 保证 系统 能 够 正常 工作 ,能 在 确定 的 条 件 下 、 规 定 的 时 间 内 完成 规定 的 功能 , 实 
现 规定 的 特性 ,并 且 合 法 用 户 对 于 数据 资源 的 使 用 不 会 被 拒绝 。 

(2) 可 控 性 (controllability) 保 护 , 就 是 系统 对 于 信息 内 容 和 传输 具有 控制 能 力 。 

(3) 有 效 性 Cavailability) 保 护 , 即 提供 面向 用 户 的 服务 。 简 单 地 说 就 是 : 合法 者 可 用 ， 
非法 者 拒绝 。 

针对 这 些 目标 ,通常 采取 如 下 策略 : 

(1) 恶意 程序 的 预防 ,检测 和 清除 。 

(2) 入 侵 检 测 (IDS) , 当 出 现 不 正当 访问 时 ,应 设置 能 够 将 其 查 出 并 通知 风险 管理 者 的 
检测 功能 。 

(3) 灾害 预防 与 应 急 处 理 , 具 有 应 对 各 种 灾害 的 策略 和 应 急 处 理 方案 。 

(4) 防火 墙 。 

(5) 授权 。 包 括 口令 .访问 控制 .数字 证 书 和 身份 认证 。 

(6) 日 志 。 

(7) 漏洞 扫描 与 渗透 测试 。 

(8) 安全 审计 。 


1.10.3 信息 系统 安全 防御 原则 


信息 系统 的 安全 是 防御 式 安全 。 因 此 在 系统 的 规划 、 设 计 、 实 现 、 集 成 .安装 和 调试 等 所 
有 过 程 中 ,都 应 同步 考虑 安全 策略 和 功能 具备 的 程度 ,坚持 预防 为 主 ,不 要 抱 有 侥幸 心理 , 放 
掉 任何 一 个 已 经 发 现 的 漏洞 和 可 能 的 安全 威胁 。 

不 同 的 组 织 在 不 同 的 背景 下 ,基于 不 同 的 利益 考虑 ,往往 会 制定 出 一 些 信息 系统 安全 的 


防御 原则 。 下 面 介绍 目前 已 经 取得 共识 的 信息 系统 安全 防御 原则 。 
1. 木 桶 原则 


木 桶 原则 也 称 均衡 防护 原则 。 它 是 基于 “ 木 桶 的 容积 由 其 最 短 的 一 块 木板 决定 ”的 原 
则 ,考虑 到 即使 绝 大 部 分 的 环节 上 防御 能 力 极 强 , 只 要 有 一 处 很 弱 . 系统 总 体 的 防御 力也 是 
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弱 的 。 因 此 ,要 对 于 最 常见 的 攻击 手段 采取 均衡 防护 。 
2. 成 本 效率 原则 


任何 系统 都 不 是 100% 安 全 的 ,因为 100% 安 全 要 求 的 成 本 可 能 是 无 限 的 。 因 此 ,成 本 
效率 原则 要 求 针 对 系统 的 重要 性 , 设 定 相 应 的 安全 需求 级 别 , 采 取 相 应 的 安全 措施 。 


3. 可 扩展 性 原则 


考虑 信息 系统 的 发 展 、 规 模 的 变化 以 及 新 的 风险 的 出 现 ,要求 安 全 体系 具有 可 扩展 性 和 
延续 性 。 


4. 分 权 制 衡 原则 

要 害 部 位 的 管理 权限 不 应 当 交 给 一 个 人 管理 ,要 将 权利 分 割 给 几 个 人 ,互相 制约 。 
5. 最 小 特权 原则 

对 于 某 个 人 只 有 需要 时 才 可 以 授予 某 种 特权 ,但 同时 要 限制 其 他 的 系统 特权 。 

6. 失效 保护 原则 


系统 应 当 是 可 控 的 。 一 旦 系统 控制 失灵 ,要 有 紧急 响应 预案 ,阻止 风险 昔 延 和 系统 恶 
化 。 例 如 ,一旦 系统 发 生 故 障 ,必须 拒绝 人 侵 者 的 访问 ; 包 过 滤 路 由 器 发 生 故 障 , 将 不 允许 任 
何 数据 包 流通 ; 某 代 理 服务 器 出 现 故 障 , 就 再 不 提供 服务 等 。 


7. 公开 揭露 原则 


任何 系统 遭受 某 种 人 侵 ,都 是 由 于 系统 存在 相应 的 漏洞 。 对 于 发 现 的 漏洞 ,有 人 认为 应 
当 了 予以 保密 ,以 防 更 多 的 人 侵 。 但 是 ,现在 普遍 的 观点 是 应 当 公 开 漏 洞 ,一 是 可 以 引起 广泛 
的 注意 和 防护 ,二 是 可 以 发 动 更 多 的 人 或 组 织 提 供 补救 措施 ,三 是 可 以 给 入 侵 者 以 威慑 。 


8. 立足 国内 原则 


安全 技术 和 设备 首先 要 立足 国内 ,未 经 批准 不 得 消化 .改造 或 直接 应 用 国外 技术 和 
设备 。 


9. 可 评估 原则 
安全 系统 的 规划 ,设计 实施 和 运行 都 要 有 章 可 循 ,同时 要 考虑 用 户 对 于 安全 的 需求 和 
具体 环境 ,使 安全 系统 成 为 可 以 论证 、 可 以 评估 的 系统 。 
习 题 
一 、 选 择 题 


1. 下 列 关 于 计算 机 病毒 的 叙述 中 ， 是 错误 的 。 
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A. 计算 机 病毒 会 造成 对 计算 机 文件 和 数据 的 破坏 
B. 只 要 删除 感染 了 病毒 的 文件 就 可 以 彻底 消除 病毒 
C. 计算 机 病毒 是 一 段 人 为 制造 的 小 程序 
D. 计算 机 病毒 是 可 以 预防 和 消除 的 
2. 计算 机 病毒 是 指 “ 能 够 侵入 计算 机 系统 并 在 计算 机 系统 中 破坏 系统 正常 工作 的 一 种 具有 繁殖 能 力 
的 We 
A. 被 破坏 了 的 程序 
B. 具有 破坏 性 ,并 可 以 在 计算 机 中 潜伏 、 传 播 的 特殊 小 程序 
C. 特殊 微生物 
D. 源 程序 
3. 下 列 关 于 计算 机 病毒 的 说 法 中 ,正确 的 一 条 是 。 
A. 计算 机 病毒 是 一 种 有 损 计 算 机 操作 人 员 身 体 健康 的 生物 病毒 
B. 当 UD 盘 或 光盘 不 清洁 时 ,将 会 传播 计算 机 病毒 
C. 计算 机 病毒 是 一 种 通过 自我 复制 进行 传染 的 ,破坏 计算 机 程序 和 数据 的 小 程序 
D. 计算 机 病毒 是 一 种 有 逻辑 错误 的 程序 
4. 防止 U 盘 感 染病 毒 的 有 效 方法 是 5 
A. 不 要 把 无 毒 U 盘 与 有 毒 U 盘 放 在 一 起 
B. 使 器 盘 写 保护 
C. 保持 机 房 清 洁 
D. 定期 用 酒精 对 U 盘 进 行 消毒 


5. 计算 机 宏 病 毒 主要 感染 文件 。 
A, ,EXE B. .COM CG TXT D: 二 本 DC 
6. 计算 机 病毒 最 重要 的 特点 是 
A. 可 执行 B. 可 传染 C. 可 保存 D. 可 打印 
7. 为 了 预防 计算 机 病毒 ,应 采取 的 正确 措施 是 
A. 每 天 都 对 计算 机 硬盘 和 软件 进行 格式 化 B. 不 用 盗版 软件 和 来 历 不 明 的 软盘 
C. 不 同 任何 人 交流 D. 不 玩 任何 计算 机 游戏 
8. 特洛伊 木马 g 
A. 表面 上 看 起 来 无 害 , 但 隐藏 着 罪恶 B. 不 是 有 意 破坏 ,仅仅 制造 恶作剧 
C. 经 常 自我 复制 ,附着 在 宿主 文件 中 D. 传播 和 运行 都 不 需要 客户 参与 
9. 蠕虫 5 
A. 不 进行 自我 复制 B. 不 向 其 他 计算 机 传播 
C. 不 需要 宿主 文件 D. 不 携带 有 效 负载 
10. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 .截获 攻击 是 针对 的 攻击 。 
A. 机 密 性 B. 可 用 性 C. 完整 性 D. 真实 性 
11.“ 会 话 侦 听 和 劫持 技术 ”是 属于 的 技术 。 
A. 密码 分 析 还 原 B. 协议 漏洞 渗透 
C. 应 用 漏洞 分 析 与 渗透 D. DoS 攻击 
12. 上 后 阐 
A. 是 为 计算 机 系统 开启 秘密 访问 入 口 的 程序 ”B. 会 大 量 占 用 计算 机 资源 ,造成 计算 机 瘫痪 
C. 用 于 对 互联 网 中 的 目标 主机 发 起 攻击 D. 用 于 寻找 电子 邮件 地 址 ,发 送 垃圾 邮件 


13. 攻击 者 用 传输 数据 来 冲击 网 络 接口 .使 服务 器 过 于 繁忙 以 至 于 不 能 应 管 请 求 的 攻击 方式 
» 104 。 


部 


A. 拒绝 服务 攻击 B， 地 址 欺骗 攻 击 
C. 会 话 动 持 D. 信号 包 探测 程序 攻击 
14. 攻击 者 截获 并 记录 了 从 A 到 B 的 数据 ,然后 从 所 截获 的 数据 中 提取 出 信息 重新 发 往 B, 这 种 攻击 
A. 中间 人 攻击 B. 口令 猜测 器 和 字典 攻击 
C. 强力 攻击 D. 回放 攻击 
15. 拒绝 服务 攻击 的 后 果 是 
A. 信息 不 可 用 B， 应 用 程序 不 可 用 
C. 系统 死机 D. 阻止 通信 


E. 上 面 几 项 都 是 
16. DDoS 攻击 破坏 了 信息 的 


A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 

17. 某 用 户 收 到 一 封 可 疑 的 电子 邮件 ,要 求 他 提供 银行 账户 及 密码 。 这 是 一 种 攻击 手段 。 
A. 缓存 溢出 攻击 B. 钓鱼 攻击 C. 后 门 攻 击 D. DDoS 攻击 

18. 在 网 络 攻击 中 ,攻击 者 窃取 系统 的 访问 权 并 盗用 资源 的 攻击 属于 。 
A. 拒绝 服务 B. 侵入 攻击 C. 信息 盗窃 D. 信息 自 改 


19. 下 列 关 于 特征 和 行为 的 描述 中 ,不 属于 DoS 攻击 的 是 。 
A. 利用 操作 系统 或 应 用 系统 的 薄弱 环节 发 起 攻击 
B. 生成 足够 多 的 业务 量 来 拖 垮 服务 器 
C. 对 计算 机 系统 的 资源 进行 极 大 的 占用 
D. 使 用 电子 邮件 地 址 列表 来 向 其 他 计算 机 发 送 自 己 的 副本 
20. 下 列 描述 中 ,不 属于 引导 扇 区 病毒 的 是 


A. 用 自己 的 代码 代替 MBR 中 的 代码 B. 会 在 操作 系统 之 前 加 载 到 内 存 中 
C. 将 自己 复制 到 计算 机 的 每 个 磁盘 D. 格式 化 硬盘 
二 、 填空 题 
1. 计算 机 病毒 是 一 段 程序 , 它 不 单独 存在 .经常 是 附属 在 的 始 、 末 端 或 磁盘 引导 区 、 
分 配 表 等 存储 区 域 中 。 
2. 计算 机 病毒 的 5 个 特征 是 主动 传染 性 、 破 坏 性 、 \ 寄 生性 (隐蔽 性 ) 和 
3. 计算 机 病毒 是 , 它 能 够 侵入 ,并 且 能 够 通过 修改 其 他 程序 ,把 自己 或 者 自己 的 变 
种 复制 插入 其 他 程序 中 ;这 些 程序 又 可 传染 别 的 程序 .实现 繁殖 传播 。 
4. 是 一 组 计算 机 指令 或 者 程序 代码 ,能 自我 复制 ,通常 嵌入 在 计算 机 程序 中 ,能 够 破坏 计算 
机 功能 或 者 毁坏 数据 .影响 计算 机 的 使 用 。 
5. 是 对 计算 机 系统 或 其 他 网 络 设备 进行 与 安全 相关 的 检测 , 找 出 安全 隐患 和 可 被 黑客 利用 
的 漏洞 。 
6. DDoS 的 攻击 形式 主要 有 和 
三 、 问 答题 


1. 收集 充分 的 证 据 , 论 述 病毒 程序 的 特征 。 
2. 收集 资料 ,解析 下 列 恶 意 代 码 的 关键 技术 。 
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LO 
(3) 
(4) 
(5) 
(6) 
CTY 


> 


fe 
So 


长 王 放 
(2) 
LE 
12. 
13. 
14. 


15, 


“求职 信 " 病 毒 ， 
“主页 "病毒 ， 
“欢乐 时 光 " 病 毒 ， 
“ 爱 虫 "病毒 
“美丽 杀 " 病 毒 ， 
“万 花 谷 "病毒 ; 
“红色 代码 "病毒 。 


. 在 什么 情况 下 ,病毒 能 感染 被 写 保 护 的 文件 ? 
. 收集 资料 .解析 一 种 最 新 病毒 的 关键 技术 。 


总 结 现 代 病毒 技术 及 其 发 展 趋势 。 


. 讨论 现代 病毒 检测 技术 的 发 展 趋 势 。 

. 讨论 现代 反 病 毒 技术 的 发 展 趋势 。 

.收集 资料 ,讨论 针对 当前 3 种 流行 病毒 的 查 、 杀 和 感染 后 的 恢复 方法 。 
. 收集 资料 ,讨论 针对 当前 3 种 流行 蠕虫 的 查 、 杀 和 感染 后 的 恢复 方法 。 
. 分 析 蠕 虫 与 病毒 的 区 别 , 收 集资 料 ,解析 下 列 蠕虫 的 关键 技术 。 


蠕虫 王 ; 

震荡 波 。 

收集 资料 ,讨论 针对 当前 3 种 流行 木马 的 防范 及 清除 策略 。 
总 结 各 种 电磁 波 欠 听 方法 的 技术 要 点 ,提出 相应 的 防范 设想 。 
收集 各 种 手机 监听 技术 的 要 点 .提出 相应 的 防范 设想 。 

收集 各 种 网 络 监 听 技 术 的 要 点 ,提出 相应 的 防范 设想 。 

收集 资料 ,比较 下 列传 输 介质 上 信息 被 监听 的 机 会 和 可 能 。 


(1) 以 太 网 ; 

(2) 令 牌 网 ， 

(3) 电话 网 ; 

(4) 有 线 电 视 网 ; 
(5) 微波 和 无 线 电 。 


16. 


请 解释 以 下 5 种 “窃取 机 密 攻 击 ” 方 式 的 含义 。 


(1) 网 络 踩点 Cfootprinting); 

(2) 扫描 攻击 Cscanning) ; 

(3) 协议 栈 指纹 (Cstack fingerprinting) 鉴 别 ( 也 称 操作 系统 探测 ); 
(4) 信息 流 嗅 探 (sniffering) ; 

(5) 会 话 劫持 (session Hijacking) 。 


Ly 


请 解释 以 下 5 种 “非法 访问 ”攻击 方式 的 含义 。 


(1) 口令 破解 ; 

(2) IP 欺骗 ; 

(3) DNS 欺骗 ; 

(4) 重 放 (replay) 攻 击 ; 

(5) 特洛伊 木马 (Trojan horse) 。 


18. 
19. 


20. 假定 允许 使 用 26 个 字母 和 10 个 数字 构造 口令 ,口令 长 度 为 6 个 字符 , 若 采 用 亦 力 攻 避 


分 析 路 由 欺骗 的 原理 .并 与 ARP 欺骗 和 DNS 欺骗 进行 比较 。 
试用 工具 生成 一 个 口令 字典 。 
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:在 下 列 情 


A 


况 下 各 需要 多 少时 间 ? 
。 检查 一 个 口令 需要 1/10s 时 间 。 
。 检查 一 个 口令 需要 ls 时 间 。 
21. 两 人 试 在 UNIX 系统 上 进行 一 次 口令 攻击 对 抗 。 
22. 尽 可 能 多 地 收集 监听 器 产品 的 数据 .进行 比较 分 析 . 分 别 说 明 它 们 的 使 用 方法 和 防范 措施 。 
23. 介绍 一 种 扫描 工具 的 用 法 ,记录 扫描 结果 并 对 扫描 结果 进行 分 析 。 
24. 下 载 一 个 进行 缓冲 区 溢出 攻击 的 程序 ,进行 分 析 。 
25. 阅读 下 面 的 程序 ,指出 其 功能 。 


#include <stdio.h> 

int main(int argc,char x*xargv[]) 

E 
unsigned char camary[5]; 
unsigned char foo[4]; 
memset (foo, '\x00',sizeof (fo00)); 


strcpy (camary, "XXXX"); 


fprintf (stderr, "%16usn%®16u®sn$®32%n%s64usn\n", 
(int *) gfoo[0],1, (int*) g&foo[1],1 , (int*) gfoo[2],1, (int*) g&foo[3]); 
Printf ("foo | camary: $02x%02x%02x%02x | %02x%02x%02x%02x\n", 


foo[0],foo[1],foo[2],foo[3],camary[0], camary[1], camary[2], camary[3); 


26. 在 实验 室 中 模拟 一 次 SYN Flood 攻击 的 实际 过 程 。 

27. 在 DDoS 攻击 中 ,为 什么 黑客 不 直接 去 控制 攻击 侧 伪 机 :而 要 通过 控制 倪 偶 机 发 动 进攻 呢 ? 

28. 在 http://www. fbi. gov/nipc/trinoo. htm 上 有 一 个 检测 和 根除 trinoo 的 自动 程序 。 请 下 载 并 试 
用 一 次 。 

29. trinoo DDoS 有 如 下 一 些 基 本 特性 ,请 根据 这 些 特性 提出 抵御 trinoo 的 策略 。 

(1) 在 主 控 程序 与 代理 程序 的 所 有 通信 中 ,trinoo 都 使 用 了 UDP 协议 。 

(2) Trinoo 主 控 程序 的 监听 端口 是 27655, 攻 击 者 一 般 借 助 Telnet 通过 TCP 连接 到 主 控 程序 所 在 计 
算 机 。 

(3) 所 有 从 主 控 程序 到 代理 程序 的 通信 都 包含 字符 串 144, 并 且 被 引导 到 代理 的 UDP 端口 27444。 

(4) 主 控 和 代理 之 间 的 通信 受到 口令 的 保护 ,但 是 口令 不 是 以 加 密 格 式 发 送 的 ,因此 它 可 以 被 “ 嗅 探 ” 
到 并 被 检测 出 来 。 

30. 在 网 络 上 下 载 2 一 3 个 DDoS 监测 软件 ,安装 到 自己 的 计算 机 上 ,记录 其 工作 过 程 。 

31. 总 结 DDoS 攻击 的 防御 方法 。 

32. 比较 病毒 .蠕虫 .木马 ` 后 门 和 僵尸 。 

33. 收集 国内 外 有 关 病 毒 和 其 他 恶意 程序 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 


35. 简 述 常见 的 黑客 攻击 过 程 。 
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第 3 章 ”数据 安全 保护 


归根 结 底 ,信息 系统 安全 主要 是 保障 信息 系统 中 数据 的 安全 。 数 据 安 全 防护 主要 涉及 
如 下 内 容 : 

(1) 数据 的 机 密 性 (confidentiality) 保 护 , 指 保证 数据 不 为 非 授权 者 (用 户 、 实 体 或 过 程 ) 
获取 或 使 用 。 

(2) 数据 的 完整 性 (integrity) 保 护 , 指 保护 数据 在 传输 或 存储 过 程 中 不 受到 未 授权 的 纂 
改 或 破坏 。 

(3) 数据 的 抗 抵赖 性 Cnon-repudiation) 保 护 , 指 在 传输 数据 时 必须 携带 含有 自身 特质 、 
别人 无 法 复制 的 信息 ,防止 数据 的 发 送 者 或 接收 者 事后 对 自己 行为 的 否认 。 

本 章 基 于 数据 加 密 , 讨 论 数 据 的 机 密 性 、 完 整 性 和 抗 抵 赖 性 保护 技术 。 


2.1 数据 的 机 密 性 保护 


数据 的 机 密 性 保护 包括 数据 的 可 见 性 保护 和 数据 的 可 读 性 保护 。 前 者 可 借助 于 数据 隐 
藏 技术 ,后 者 可 借助 于 数据 加 密 技术 。 


2.1.1 数据 加 密 基础 


数据 加 密 是 隐蔽 数据 的 可 读 性 : 将 可 读 的 数据 一 一 明文 (plaintext,' 也 叫 明 码 ) 转 换 为 
不 可 读数 据 一 一 密 文 (ciphertext, 也 称 密码 ) ,使 非法 者 不 能 直接 了 解数 据 的 内 容 。 加 密 的 
如 果 用 已 表 示 明 文 , 用 C 表示 密 文 , 则 可 以 将 加 密 写成 如 下 函数 形式 : 
C= Erxr (P) 
这 里 ,为 加 密 函 数 ,EK 称 为 加 密 密 钥 。 
密码 系统 包括 明文 空间 、 密 文 空间 、 密 钥 空 间 和 密码 算法 4 个 方面 。 下 面 通过 介绍 几 种 
简单 的 加 密 方法 来 介绍 加 密 算法 和 密 钥 的 概念 以 及 加 密 算法 与 密 钥 之 间 的 关系 。 


1. 替代 密码 


替代 密码 就 是 将 明文 中 的 每 个 位 置 的 字母 都 用 其 他 字母 代替 。 比 较 简 单 的 置换 方法 是 
恺 撒 算 法 , 它 将 明文 中 的 每 个 字母 都 用 相隔 一 定 距 离 的 另 一 个 字母 代替 。 例 如 ,将 明文 
CHINA 中 的 每 个 字母 都 用 字母 表 中 后 面 的 距离 为 5 的 字母 代替 ,就 会 变 成 密 文 HMNSF 。 
这 里 “在 字母 表 上 移动 一 个 距离 ”就 称 为 加 密 算法 ,距离 5 就 称 为 加 密 密 钥 。 这 种 加 密 的 强 
度 非 常 低 , 破 译 者 最 多 只 要 按 字 和 母 表 试 25 次 ,就 能 根据 组 词 规则 破译 密 文 。 

以 法 国 密码 学 家 Vigenere 命名 的 维 吉 利 亚 密 码 就 是 一 种 比较 复杂 的 替代 密码 。 设 

卫生 data security, EK=~—= basic 
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则 采用 维 吉 利 亚 密 码 的 加 密 过 程 如 下 : 
(1) 制作 维 吉 利 亚 方 阵 , 如 表 2. 1 所 示 。 规 则 是 第 i 行 以 I 打头 。 


表 2.1 维 吉利 亚 方 阵 


明 文 a y 2 
a A 至 | 这 
b B Z|A 
© A|IB 
I G|IH 
Ss S QIR 
t 和 到 | 各 
Zz A X|Y 


(2) 按 密 钥 的 长 度 将 P 分 解 为 若干 节 。 这 里 basic 的 长 度 为 5, 故 将 明文 分 解 为 表 2. 2 
所 示 的 样子 。 
表 2.2 按照 密 钥 分 解 明文 
密 钥 


明文 


(3) 对 每 一 节 明 文 ,利用 密 钥 basic 进行 变换 。 以 明文 d 为 例 , 变 化 的 方法 是 : 由 于 d 
处 于 密 钥 的 b 列 ,因此 在 维 吉利 亚 方 阵 的 第 b 行 中 找到 第 d 个 字符 即 是 。 其 他 以 此 类 推 。 
于 是 得 到 如 下 密 文 : 

C 一 Fr (P)=EALIU FCMZK UY 

使 用 ASCII 码 ,所 发 送 的 位 流 为 

01000101010000010100110001001101010101010100011001000011010011010100101 

0010010110101010101011101 

这 种 密码 是 将 明文 中 的 一 个 字母 用 一 个 相应 的 密 文 字母 蔡 换 , 称 为 简单 替换 密码 
(simple substitution cipher) 或 单字 母 密 码 Cmono alphabetic cipher)。 它 应 用 简单 ,但 系统 
太 脆 弱 , 极 容 易 被 攻破 。 于 是 又 设计 出 多 种 形式 的 替换 法 ,例如 以 下 两 种 替换 法 : 

(1) 多 名 替换 密码 Chomophonic substitution cipher) ,一 个 字母 可 以 映射 为 多 个 密 文字 
母 。 例 如 : 

A—5,12,25,56 
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(2) 多 字母 密码 (poly alphabetic cipher) ,字符 块 被 成 组 加 密 。 例 如 : 
ABA—RTQ 
ABB 一 SLL 


2. 换 位 密码 


换 位 就 是 将 明文 中 字母 的 位 置 重新 排列 。 最 简单 的 换 位 就 是 逆序 法 ,即将 明文 中 的 字 
母 倒 过 来 输出 。 例 如 : 

明文 : computer system 

蜜 文 : metsys retupmoc 

这 种 方法 太 简 单 ,非常 容易 破解 。 下 面 介 绍 一 种 稍 复杂 的 换 位 方法 列 换 位 法 。 

使 用 列 换 位 法 ,首先 要 将 明文 排 成 一 个 矩阵 ,然后 按 列 进行 输出 。 为 此 要 解决 两 个 
问题 ; 

(1) 排 成 的 矩阵 的 宽度 , 即 和 矩阵 有 多 少 列 。 

(2) 排 成 矩阵 后 ,各 列 按 什么 样 的 顺序 输出 。 

为 此 ,要 引入 一 个 密 钥 开 , 它 既 可 定义 矩阵 的 宽度 ,又 可 以 定义 各 列 的 输出 顺序 。 例 如 
天 一 computer, 则 这 个 单词 的 长 度 (8) 就 是 明文 矩阵 的 宽度 ,而 该 密 钥 中 各 字母 按 在 字母 序 
中 出 现 的 次 序 , 就 是 输出 的 列 的 顺序 。 表 2. 3 为 按 密 钥 对 明文 “WHAT CAN YOU 
LEARN FROM THIS BOOK” 的 排列 。 于 是 ,输出 的 密 文 为 

WORO NNSX ALMK HUOO TETX YFBX ARIX CAHX 


表 2.3 按 密 钥 排 列 的 明文 举例 


密 钥 时 
顺序 号 2 6 
N Y 
N E 
明文 
S B 
X 
3. 简单 异 或 
异 或 运算 具有 如 下 特点 : 


0@0=0, 0D1=1 , 1®80=1, 1®@1=0, a@Ba=0 ，< 中 2 中 0 一 < 
即 两 个 运算 数 相 同 ,结果 为 0: 不同 ,结果 为 1。 
使 用 简单 异 或 进行 加 密 ,就 是 将 明文 与 密 钥 进行 异 或 运算 ,解密 则 是 对 密 文 用 同一 密 钥 
进行 异 或 运算 。 即 
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P®OK=C 
CBK=P 


4. 分 组 密码 


分 组 密码 是 一 种 加 密 管 理 方法 。 它 的 基本 思想 是 将 明文 报 文 编码 (例如 用 0、1 码 进 行 
编码 ) ,并 按照 一 定 的 长 度 Gm) 进 行 分 组 ,再 将 各 组 明文 的 码 分 别 在 密 钥 的 控制 下 进行 加 密 。 
例如 将 明文 编码 按照 64 位 为 一 组 进行 分 组 加 密 。 

采用 分 组 密码 的 好 处 是 便于 标准 化 ,便于 在 分 组 (如 x. 25,IP) 网 络 中 被 打包 传输 。 其 
次 ,由 于 一 个 密 文 组 的 传输 错误 不 会 影响 其 他 密 文 组 ,所 以 容易 实现 同步 。 但 是 由 于 相同 的 
蜜 文 一 定 对 应 相同 的 明文 ,所 以 分 组 密码 不 能 隐蔽 数据 模式 ,同时 也 不 能 抵抗 组 重 放 、 典 和 
和 删除 等 攻击 。 


实验 5 加 密 博弈 
1. 实验 目的 


(1) 掌握 古典 加 密 程 序 的 设计 方法 。 

(2) 掌握 进行 密码 攻击 的 方法 。 

2. 实验 内 容 

(1) 实验 由 两 (组 ;人 共同 完成 : 一 (组 ) 人 进行 加 密 程序 设计 , 另 一 (组 ) 人 进行 密码 攻 
击 程序 设计 。 

(2) 程序 要 求 : 加 密 程序 由 一 组 程序 组 成 .分别 使 用 置换 法 、 换 位 法 、 异 或 法 或 它们 的 
组 合 方 法 设计 。 

(3) 实验 在 一 些 文件 上 进行 。 

(4) 实验 过 程 中 ,要 记录 攻击 时 间 。 

(5) 一 轮 实 验 完成 后 ,加密 方 与 攻击 方 角色 互 换 ,再 继续 进行 男 一 轮 实验 。 

3. 实验 准备 

(1) 设计 实验 过 程 和 环境 。 例 如 ,两 方 可 以 通过 电子 邮件 互相 传送 。 

(2) 设计 加 密 程 序 组 和 攻击 程序 组 。 

(3) 准备 实验 用 的 被 加 密 文件 。 

4. 推荐 的 分 析 讨 论 内 容 

分 析 影 响 密码 加 密 强 度 的 因素 。 
2.1.2 数据 加 密 体制 

1. 对 称 密码 体制 和 非 对 称 密码 体制 


如 前 所 述 , 一 个 加 密 过 程 可 以 描述 为 
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他 三 站 CR 
其 中 ,EF 称 为 加 密 函 数 ,EK 为 加 密 密 钥 。 对 应 地 ,可 以 把 解密 写成 
P= Do 

其 中 ,D 称 为 解密 函数 ,DK 为 解密 密 钥 。 于 是 ,按照 DK 与 EK 的 关系 ,可 以 分 为 两 种 情况 : 

(1) 对 称 密码 体制 。 若 一 种 加 密 方法 有 DK 二 EK ., 则 称 其 为 对 称 密码 体制 ,或 称 单 钥 密 
码 。 即 在 这 种 方法 中 ,加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 相同 。 在 对 称 密码 体制 中 ,最 为 著 
名 的 加 密 算 法 是 IBM 公司 于 1971 一 1972 年 研制 成 功 的 DES(Data Encryption Standard , 数 
据 加 密 标 准 ) 分 组 算法 ,1977 年 被 定 为 美国 联邦 信息 标准 。 

(2) 非 对 称 密码 体制 。 若 一 种 加 密 方法 有 DK 关 EK. 则 称 其 为 非 对 称 密码 体制 ,或 称 双 
钥 密 码 。 即 在 这 种 方法 中 ,加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 不 相同 。 在 非 对 称 密码 体制 
中 ,最 著名 的 是 以 MIT 的 R. Rivest、A. Shamir 和 L.M. Adleman 三 位 数学 家 的 姓氏 首 字 
母 命 名 的 RSA 算法 。RSA 加 密 体制 对 一 对 密 钥 有 如 下 要 求 : 

Q@ 加密 和 人 解密 分 别 用 不 同 的 密 钥 进行 ,如 用 加 密 密 钥 EK 对 明文 P 加 密 后 ,不 能 再 用 EK 
对 密 文 进行 解密 ,只 能 用 相应 的 另 一 把 密 钥 DK 进行 解密 得 到 明文 。 即 有 Dek (Esx (P)) 关 P 
和 Dix (Ere PD)=P: 

@ 加 密 密 钥 和 解密 密 钥 可 以 对 调 , 即 Dex (CEokCP)) 一 己 。 

@ 应 能 在 计算 机 上 容易 地 成 对 生成 ,但 不 能 由 已 知 的 DK 导出 未 知 的 EK ,也 不 能 由 已 
知 的 EK 导出 未 知 的 DK。 


2. 密 钥 的 安全 与 公开 密码 体制 


如 前 所 述 , 密 码 的 安全 决定 于 算法 的 安全 和 密 钥 的 安全 两 个 方面 。 为 此 在 实际 中 可 以 
采用 两 种 不 同 的 策略 : 一 种 称 为 受 限 制 的 算法 , 另 一 种 称 为 基于 密 钥 的 算法 。 受 限制 的 算 
法 就 是 基于 算法 保密 的 安全 策略 。 这 种 策略 曾经 被 使 用 ,但 是 在 现代 密码 学 中 已 经 不 再 使 
用 。 原 因 如 下 : 

(1) 算法 是 要 人 掌握 的 。 一 旦 人 员 变 动 ,就 要 更 换算 法 。 

(2) 算法 的 开发 是 非常 复杂 的 。 一 旦 算法 泄密 ,重新 开发 需要 一 定 的 时 间 。 

(3) 不 便于 标准 化 。 由 于 每 个 用 户 单位 必须 有 自己 唯一 的 加 密 算 法 ,不 可 能 采用 统一 
的 硬件 和 软件 产品 。 否 则 偷窃 者 就 可 以 在 这 些 硬件 和 软件 的 基础 上 进行 猜测 式 开发 。 

(4) 不 便于 质量 控制 : 用 户 自己 开发 算法 ,需要 好 的 密码 专家 ,否则 对 安全 性 难以 
保障 。 

此 ,现代 密码 学 认为 .所 有 加 密 机 制 的 安全 性 都 应 当 基 于 密 钥 的 安全 性 ,而 不 是 基于 
算法 实现 的 安全 保密 。 这 就 意味 着 加 密 算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生产 使 用 算 
法 的 产品 ,即使 攻击 者 知道 了 算法 也 没有 关系 ,只 要 不 知道 解密 具体 使 用 的 密 钥 ,就 不 能 破 
译 密 文 。 所 以 保密 的 关键 是 保护 解密 密 钥 的 安全 。 

按照 这 一 思想 ,对 称 密码 体制 运算 效率 高 .使 用 方便 、 加 密 效 率 高 ,是 传统 企业 中 最 广泛 
使 用 的 加 密 技 术 。 但 是 ,由 于 通信 双方 使 用 同样 的 密 钥 ,因此 无 论 任何 一 方 生成 密 钥 ,都 要 
通过 一 定 渠道 向 对 方 传送 密 钥 ,有 可 能 在 传送 过 程 中 使 密 钥 泄露 ,而 且 通 信 双 方 无 论 任何 一 
方 泄密 ,都 会 给 双方 造成 损失 。 
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由 于 在 非 对 称 密码 体制 中 ,加 密 与 解密 使 用 不 同 的 密 钥 ,所 以 情况 大 有 不 同 。 设 通信 在 
A.B 之 间 进 行 , 则 可 以 采用 下 面 的 方法 生成 密 钥 : 

(1) A 方 产生 一 对 密 钥 ,将 其 中 一 个 自己 保存 , 另 一 个 传递 给 卫 方 。 

(2) B 方 也 产生 一 对 密 钥 , 将 其 中 一 个 自己 保存 , 另 一 个 传递 给 A 方 。 

这 样 , 每 端 都 拥有 两 个 密 钥 : 一 个 是 只 有 自己 知道 ,其 他 任何 人 都 不 知道 的 密 钥 ,对 于 
A 方 而 言 , 称 为 A 方 的 私 钥 , 记 做 SKs; 另 一 个 是 对 方 传 来 的 ,自己 和 对 方 都 知道 的 密 钥 , 对 
于 A 方 耐 言 , 称 为 A 方 的 公 钥 , 记 做 PKs。 于 是 非 对 称 密码 体制 可 以 提供 如 图 2. 1 所 示 的 
方法 进行 加 密 : 

(1) A 方 先 用 自己 的 私 钥 SKA 对 数据 加 密 , 形 成 密 文 Esxx、(P) 再 用 B 方 的 公 钥 PKs 对 
密 文 加 密 , 形 成 双重 加 密 的 密 文 Enx, (Esx、(P))。 

(2) 双重 加 密 的 密 文 Epx, (Esx、(P)) 传 送 到 BB 方 后 ,B 方 先 用 B 方 的 私 钥 SKs 进 行 一 
次 解密 ,得 到 Esx、(P); 再 用 A 方 的 公 钥 PKA 进 行 二 次 解密 ,才能 将 二 重 密 文 最 终 解密 。 


ESskA(P) EpkpEska(P) Eska(P) 
a 3 te 兴 三 三 三 三 兰 a es ee i 


t t | 人 


SKA PKB SKg PKA 
图 2.1 非 对 称 密码 体制 的 加 密 与 解密 


在 这 种 情况 下 ,为 了 保护 数据 的 机 密 性 ,只 要 对 每 一 方 的 私 钥 加 以 保护 即 可 。 而 公 钥 可 
以 不 进行 保护 ,甚至 可 以 公开 。 这 样 就 不 存在 密 钥 传输 中 的 失 密 问 题 了 。 所 以 ,通常 也 将 非 
对 称 密码 体制 称 为 公开 密 钥 体制 ,因为 要 向 对 方 传送 的 一 个 密 钥 可 以 被 公开 。 这 也 就 是 通 
常 把 公开 ( 非 对 称 ) 密 钥 体 系 中 的 密 钥 记 为 SK 和 PK ,而 不 再 使 用 记号 EK 和 DK 的 原因 。 

公开 密 钥 体 制 的 问题 是 算法 效率 低 。 所 以 ,一 般 都 是 用 公开 密 钥 系统 传送 对 称 密 码 体 
制 中 的 密 钥 ,再 用 对 称 密码 体制 传送 密 文 。 

公开 密 钥 体制 是 斯 坦 福 大 学 的 两 位 科学 家 Diffie 和 Hellman 在 1976 年 提出 来 的 。 


2.1.3 AES 算法 


1973 年 5 月 16 日 ,美国 国家 标准 局 (NBS), 即 现在 的 NIST(National Institute of 
Standards and Technology, 美 国 国家 标准 与 技术 研究 院 ) ,在 咨询 了 NSA( 美 国 国 家 安全 局 ) 
之 后 ,发 出 通告 ,公开 征求 对 计算 机 数据 在 传输 和 存储 期 间 进 行 数据 加 密 的 算法 。 要 求 如 下 : 

(1) 必须 提供 高 度 的 安全 性 。 

(2) 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 获得 的 利益 ,但 同时 又 便于 理解 和 掌握 。 

(3) 安全 性 应 当 不 依赖 于 算法 的 保密 ,加 密 的 安全 性 仅 以 加 密 密 钥 的 保密 为 基础 。 

(4) 必须 适合 不 同 的 用 户 和 不 同 的 应 用 场合 。 

(5) 实现 算法 的 电子 器 件 必 须 很 经 济 ,运行 有 效 。 

(6) 必须 能 够 有 出 口 。 

此 后 数 年 内 ,美国 的 许多 公司 、 研 究 机 构 和 大 学 开发 了 许多 算法 。1975 年 ,IBM 公司 提 
出 的 算法 被 采纳 ,并 向 全 国 公布 ,征求 意见 。1976 年 11 月 ,这 个 算法 作为 数据 加 密 标准 。 
从 此 DES 也 被 广泛 应 用 。 但 是 ,由 于 DES 的 密 钥 空间 较 小 ,只 有 56b, 所 提供 的 密 钥 空间 只 
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有 2 ( 约 为 7.2X105) 的 大 小 。 这 样 的 空间 大 小 ,不 能 抵抗 穷尽 搜索 攻击 。 

为 此 ,1997 年 4 月 15 日 ,美国 NIST 发 起 征集 新 的 用 于 保护 敏感 的 非 机 密 政府 信息 加 
密 标 准 AES(Advanced Encryption Standard ,高 级 加 密 标 准 )。1997 年 9 月 给 出 选择 AES 
的 3 条 评估 准则 : 

(1) 安全 性 。 最 短 密 钥 长 度 128b ,并 可 抵御 各 种 密 钥 分 析 的 攻击 。 

(2) 效率 。 可 广泛 使 用 ,有 很 高 的 计算 效率 。 

(3) 灵活 性 。 算 法 灵活 、 简 洁 , 能 适应 各 种 计算 机 平台 。 

1998 年 6 月 ,NIST 共 收 到 21 个 提交 的 方案 。 经 过 几 年 的 反复 论证 和 评估 ,最 后 于 
2000 年 10 月 2 日 确定 选择 来 自 比 利 时 Katholieke Universiteit Leuven 电子 工程 系 的 
Vincent Rijmen 博士 和 Proton World International 的 Joan Daemen 博士 设计 的 加 密 算 法 
Rijndael( 两 人 的 姓氏 组 合 )。 在 此 期 间 .NIST 宣布 DES 不 再 作为 标准 。 

Rijndael 算法 设计 基于 非常 巧妙 的 数学 原理 ,经 过 AES 标准 化 后 ,规定 分 组 大 小 为 
128b , 密 钥 长 度 可 以 是 128b、192b 或 256b ,分 别称 为 AES-128、AES-192 和 AES-256。 下 面 
介绍 Rijndael 算法 。 


1. 状态 矩阵 


Rijndael 是 分 组 算法 ,其 运算 的 基本 单位 是 字 节 ,所 给 出 的 分 组 长 度 和 密 钥 长 度 都 有 
128b(16B)、192b(24B) 和 256b(32B)3 个 等 级 。 在 加 密 过 程 中 ,将 每 个 分 组 按 字 节 分 别 组 织 
成 如 图 2. 2 所 示 的 3 个 4 行 字 节 和 矩阵 。 


ao | 0 | 8. ar2 Go0 [a ed [a di6 | G20 Go0 | 4 | as a | di6| 420| 024 | G28 
al | 95 | 99 |a13 a [as ay [a 217 | 921 al | as| a aa| an 221| 025 | 229 
> | Gs. 910 | 4 2 | ds ao | aas Gi | 222 Ed | Gs:| Gi0 ana| ais 222| 026 | 030 
a3 | 97 |ai 915 a3 [~ El |as qi9 | 223 G3 | 27 | al1 as| ao G23 | 027 | 031 
(a) 16B 字 节 和 矩阵 (b) 24B 字 节 和 矩阵 (c) 32B 字 节 和 矩阵 


图 2.2 3 个 状态 矩阵 


这 些 矩 阵 是 Rijndael 算法 进行 处 理 的 基础 ,一 个 加 密 过 程 就 是 不 断 对 这 种 矩阵 进行 迭 
代 变 换 的 过 程 ,将 之 称 为 状态 (state) 和 矩阵 。 状 态 和 矩阵 的 列 数 记 做 Ne 。 同 样 , 也 要 把 3 个 等 
级 的 密 钥 也 组 织 成 3 种 字 节 和 矩阵 。 

2. Rijndael 算法 加 密 的 迭代 过 程 


Rijndael 算法 是 一 种 迭代 算法 。 其 过 程 如 图 2. 3 所 示 。 首 先 将 密 钥 K。 和 待 加 密 信息 
按 位 相 与 ,然后 所 有 要 加 密 的 分 组 都 用 一 个 轮 郴 数 下 进行 迭代 计算 。 


明文 六 -| FF 一 | F | 一 密 文 7 
Ko | | Ky 


密 钥 一 一 一 | 密 钥 扩展 函数 
2.3 ”AES 迭代 过 程 
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AES 的 函数 下 要 迭代 NN, 轮 ,NN; 的 值 由 密 钥 长 度 和 分 组 长 度 决定 ,具体 如 表 2.4 所 示 。 
表 2.4 Rijndael 算法 迭代 轮 数 N, 的 值 


分 组 长 度 128b 分 组 长 度 192b 


分 组 长 度 256b 


密 钥 长 度 128b( Ns, 二 4) | 10 14 
密 钥 长 度 192b(Ne 王 6) | 14 


密 钥 长 度 256b( Ns 二 8) 


在 前 N: 一 1 轮 中 ,下 包含 4 个 动作 : 

(1) 字 节 代 换 。 

(2) 行 移 位 。 

(3) 列 混淆 。 

(4) 轮 密 钥 加 。 

最 后 一 轮 ( 第 N, 轮 ) 包 含 3 个 动作 : 

(1) 字 节 代 换 。 

(2) 行 移 位 

(3) 轮 密 钥 加 。 

K。、K1、K,… Kw 为 每 一 轮 中 使 用 的 子 密 钥 ,它们 由 一 个 密 钥 扩展 函数 所 产生 。 初 始 密 
钥 Ko。 就 是 主 密 钥 KK。 


3. 字 节 代 换 

在 Rijndael 算法 中 采用 了 替代 技术 ,进行 字 节 代 换 。 字 节 代 换 是 非 线 性 的 , 它 独立 地 将 
状态 中 的 每 个 字 节 用 代 换 表 一 一 S 盒 中 的 值 进行 代 换 。 如 图 2. 4 所 示 ,S 盒 用 每 个 字 节 的 
高 4 位 作为 行 值 , 低 4 位 作为 列 值 , 按 此 找 出 对 应 的 表 值 。 表 中 的 数值 都 是 十 六 进 制 的 。 

4. 行 移 位 

在 Rijndael 算法 中 还 采用 了 换 位 技术 一 一 行 移 位 。 移 动 方法 是 对 状态 阵列 中 的 第 2、 
3、4 行 分 别 循环 左 移 C1、Cs、Cs 列 。C1 、Cs、C; 的 值 与 分 组 大 小 有 关 , 具 体 值 见 表 2. 5。 


表 2.5 状态 矩阵 中 2.3.4 行 的 移 位 值 


图 2. 5 为 对 分 组 长 度 为 128b 的 状态 阵列 行 移 位 的 情形 。 


“ lS « 


0 2 3a | Ss Gl 9 BE@ || 访 | 写 | 六 
o|6|7c|7|7B|F2|6B|6or|cs ol |67|12B|FE|D7|AB|76 
1 GA | 82. | :G9 | 9D | FA A2|AF|oc|A4|72|co 
2|B7|FD| 9 | 26 |36 ES: | El | 2 | Ds | 3 | 1s 
3 |04 | C7 | 23 | .C3 | 18 50 | E2; | EB | 27 |B2 || 75 
4 .09 | 83 | 2C | LA | 1B D6 |B3|29|E3|2F | 84 
5|153|D1|o00|ED|20 BE|39|4A|4c| ss |cF 
6|DoO|IEF|AA|IFB|43 02 |7F |50|3C| oF |As 
行 [| 7 | s1 [a3 | 40 | gr | 902 DA|21|10 [FF |F3|D2 
8s |p | o6 | 13: | EG | 5E 7TE|3D|64|5D|I19|73 
9|60|81|4F |Dc|22 B8 | 14|DE|5E |oB |DB 
A|E0|32|13A|0A|49 AC|62 |91 |95 |E4|79 
B: | E7 | :C8 | 37 :6D | F4 |EA|65 |7A|AE| oO08 
© BA | 78 25 | ZE ac 74 | 1F | 4B | BD | gD | 8A 
D|70|3E|B5 |66 |48 57 |B9|86|c1|I1D|oFE 
E|E!|F8|908|11 |69 87 |E9 | cE | 55 | 28 | DF 
F|8cC|A!l1|89 |oD|BF 2D | oF |B0|54|BB|16 
图 2.4 Rijndael 算法 中 使 用 的 S 盒 
3S00 | So1 | $02 | So03 

循环 左 移 1 列 

循环 左 移 2 列 

循环 左 移 3 列 

图 2.5 分 组 长 度 为 128b 的 状态 阵列 行 移 位 
5. 列 混淆 


在 行 位 移 的 基础 上 . Rijndael 算法 还 进行 了 列 混淆 , 即 对 状态 矩阵 中 的 每 一 列 ( 在 
Rijndael 算法 中 称 为 一 个 字 ) 进 行 一 次 如 下 的 和 矩阵 运算 。 其 中 c 为 列 号 (0 三 c 二 Ns), 如 2c 


为 第 2 行 第 “ 列 。 


即 有 如 下 结果 : 


Soc 
J 
S lc 
汪 
S2c 
S3c 
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Soc 2 03 
下 01 02 
sz| lo ol 
EA 03 01 


01 
03 
02 
01 


ol 
01 
03 
02 


S3c 


= ({02} 。 $s0.) DB (03} 。si) 中 sy 四 sa- 
= so BD 02} » 1) BD {03} » s2) OB sa 
= so D se DB (02} » s2) DB ({03} »。 sc) 
= ({03} « s0.) D s1.({03} » s1) D sz D {02} » 53.) 


这 里 ,符号 由 表示 二 进 制 异 或 。 
例 2.1 若 第 1 列 分 别 为 187}、{6E})、{46}、{A6} ,请 计算 so 。 


由 上 述 混 清算 法 可 以 得 到 
si 一 ({02}。{87)) 中 ((103} » {6E})®B{46}®D{47} 
用 多 项 式 表示 为 
{02} 一 工 
{87} 二 用 十 ?十 w 秆 霸 
则 


{02}。{87} 二 x 十 X33 十 XxX 十 工 
再 对 一 个 8 次 的 不 可 约 多 项 式 求 模 , 得 


(zs 十 za 十 zz 十 zz)mod(zs 十 六 4 十 zs 十 zz 十 并 十 1) xt 十 Xx? 十 1 
写成 二 进 制 形式 为 00010101。 
同 理 得 到 {03} 。 {6E} 二 10110010,{46} 二 01000110,{47} 二 10100110。 
故 表达 式 ({02;。{87}) 世 ({03}。{6E}) 虽 {46} 中 {47} 可 以 用 下 面 的 方法 计算 得 到 。 
0001 0101 
1011 0010 
0100 0110 
中 1010 0110 
0100 0111 王 {47》 


6. 轮 密 钥 加 
轮 密 钥 加 变换 可 以 看 成 状态 矩阵 中 的 一 个 字 与 轮 密 钥 的 一 个 字 进 行 异 或 运算 。 
7. 密 钥 扩展 


下 面 以 分 组 长 度 和 密 钥 长 度 都 为 128b 的 AES 加 密 算法 为 例 , 说 明 密 钥 扩 展 的 算法 。 
由 前 面 的 讨论 可 知 , 这 时 要 进行 10 轮 迭 代 , 总 共 需 要 Ko。、Ki、K,、…、Knw, 共 11 个 密 钥 。 每 
个 密 钥 和 矩阵 有 4 个 字 , 共 需要 44 个 密 钥 字 。 而 现在 只 有 4 个 字 的 原始 密 钥 。Rijndael 算法 
中 的 密 钥 扩展 就 是 要 从 这 4 个 原始 的 密 钥 字 再 扩展 出 来 40 密 钥 字 。 密 钥 扩 展 算法 如 下 。 

首先 建立 一 个 大 小 为 44 的 密 钥 数组 w。 其 每 个 元 素 为 4 个 字 节 。 接 着 将 原始 密 钥 复 
制 到 w 的 前 4 个 字 中 ,得 到 ww[0] .ww[L1] .wwL2] .ww[L3]。 然 后 用 这 4 个 字 扩展 w 中 余下 的 部 
分 ,使 ww[ 疏 的 值 依赖 于 w[i 一 1] 和 w[Li 一 4]。 其 中 i 二 4。 然 后 按照 下 列 方法 进行 扩展 : 

(1) 当 i 为 非 4 的 整数 倍 时 ,w[ 让 的 值 为 w[Li 一 1] 与 w[Li 一 4j 的 蜡 或 。 

(2) 当 i 为 4 的 整数 倍 时 , 按 下 面 的 方法 进行 。 

@ 将 w[i 一 1 的 4 个 字 节 [bo ,61 ,bz ,pa] 循 环 左 移 一 个 字 节 , 即 变 为 Lo ,bs ,bs ,oo]。 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进行 字 节 代 换 。 

@ 将 w[i 一 4J 与 的 结果 异 或 ,与 @ 的 结果 异 或 ,再 与 轮 常数 Rcon[i 异 或 。 轮 常数 在 
每 一 轮 中 为 一 个 常数 ,具体 见 表 2. 6 所 示 。 

。 117 。 


表 2.6 轮 常数 的 值 


Rcon[ 可 Rcon[L 可 


1 010000000 | 200000000 
2 020000000 7 | 400000000 
3 040000000 8 | 800000000 
4 080000000 | 1B0000000 


100000000 360000000 


192b 和 256b 中 的 密 钥 扩展 算法 如 上 类 似 , 在 此 不 再 袭 述 。 


8. Rijndael 解密 算法 


Rijndael 解密 算法 是 Rijndael 加 密 算 法 的 逆 变 换 , 算 法 类 似 , 只 是 顺序 不 同 , 这 里 不 再 
介绍 。 


2.1.4 公开 密 钥 算法 RSA 


1. RSA 的 数学 基础 
1) 费 马 (Fermat) 定 理 
描述 1: 若 p 是 素数 ,a 是 正 整 数 且 不 能 被 bp 整除 , 则 a7' 寺 1 mod p。 
描述 2: 对 于 素数 p ,和 背 a 是 任 一 正 整 数 , 则 a? 寺 a(mod p)。 
例 2.2 设 p=3,a= 二 2, 则 2"!= 二 4 圭 1(mod 3) 或 2: 二 8 寺 2(mod 3)。 
例 2.3 设 p==5,4a 二 3, 则 3 :一 81 寺 1(mod 5) 或 35 二 243 寺 3(mod 5)。 
2) 欧 拉 (Euler) 函 数 
欧 拉 函 数 p(w 表示 小 于 nn 并 与 n 互 素 的 正 整 数 的 个 数 。 
例 2.4 gp(6)=2,{1,5});9(7) =6,{1,2,3,4,5,6};9(9)=6,{1,2,4,5,7,8}。 
3) 欧 拉 定理 
若 整 数 a 和 mm 互 素 , 则 
ar = 1(mod m) 
例 2.5 设 4= 二 3,m 二 7, 则 有 p(7) 一 6,35 一 729,729= 1(mod 7)。 
例 2.6 设 4= 二 4,m 二 5, 则 有 pP(5) 一 4,4 一 256 ,256 三 IC(mod 575 


2. RSA 加 密 密 钥 的 产生 


RSA 依赖 于 一 个 基本 假设 : 分 解 因子 问题 是 计算 上 的 困难 问题 。 即 很 容易 将 两 个 素 
数 乘 起 来 ,但 分 解 该 乘积 是 困难 的 。 
1) 基本 过 程 
(1) 选 两 个 保密 的 大 素数 p 和 g (保密 )。 
(2) 计算 n= 二 p* gC 公开 ) ,p07) 一 (p 一 1)(g 一 1) (保密 )。 
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(3) 随机 选取 一 个 整数 e, 满 足 1 二 e 二 p(n) 有 年 gcd(qg(n),e) 一 1( 公 开 )。 

(4) 计算 4, 满 足 4*e 寺 1 mod gp(n) (保密 )。 

说 明 : 4 是 e 在 模 g() 下 的 乘法 道 元 。 因 为 e 与 g(n) 互 素 , 所 以 其 乘法 道 元 一 定 存在 。 
(5) 得 到 一 对 密 钥 : 公开 密 钥 {e.n) ,秘密 密 钥 {d,n}。 

2) 应 用 举例 

(1) 选择 两 个 素数 p 二 7,g 二 17。 

(2) 计算 n= 一 pp*g= 二 7X17= 二 119。 

计算 的 欧 拉 函数 pg(n) 二 (p 一 1)(g 一 1) 二 6X16 一 96。 

(3) 从 L0,95] 间 选 一 个 与 96 互 质 的 数 e 一 5。 

(4) 根据 式 


5.d= 1 mod 96 
解 出 d= 二 77, 因 为 e* 4 二 5X77 二 385 二 4X 96 十 1 圭 1 mod 96 。 
(5) 得 到 公 钥 PK 二 (e,n) 二 {5,119), 密 钥 SK 二 {77,119)。 


3. RSA 加 密 /解密 过 程 


1) 基本 过 程 
(1) 明文 数字 化 ,即将 明文 转换 成 数字 串 。 
(2) 分 组 。 将 二 进 制 的 明文 串 分 成 长 度 小 于 logzn 的 数字 分 组 。 如 果 p 和 9g 都 为 100 
位 素数 , 则 将 有 200 位 ,所 以 每 个 明文 分 组 应 小 于 200 位 。 
(3) 加密 算 法 
Ci 一 Mi modn 
最 后 得 到 的 密 文 C 由 长 度 相 同 的 分 组 C; 组 成 。 
(4) 解密 算法 
D(C) = C0 modn 
2) 综合 应 用 举例 
(1) 产生 密 钥 。 
设 p= 二 43,g 二 59,n 二 43X59 2537,9(n) 一 42X58 一 2436 。 
取 e 王 13( 与 g(n) 没 有 公 因 子 )。 
解 方程 4，e 寺 1(mod 2436) ,计算 过 程 如 下 : 
2436 一 13 X 187 十 5,5 一 2436 一 13 X187 
13= 2X5+3;53 RS 

1 有 一 上 3 《5—3) = 一 

二 2X13 一 5X5 

=2X13—5Xx (2436— 13 x 187) 

= (187 X5+2)Xx13—5X2436 

= 937 X13—5 Xx 2436 


即 
“LS 3 


937 X13 二 1(mod 2436) 
故 e 二 13,d 二 937。 
(2) 加 密 。 
明文 : public key encryptions。 
明文 分 组 : pu bl ic ke ye nc ry pt io ns。 
明文 数字 化 ( 按 字 母 序 , 令 a 一 00,6 一 01,c 一 02,…,y 一 24,z 一 25): 
1520 0111 0802 1004 2404 1302 1724 1519 0814 1418 
加 密 : 按照 算法 Mx (mod n) 二 Ci, 如 1520* (mod 2537) 一 0095 ,得 到 密 文 : 
0095 1648 1410 1299 1365 1379 2333 2132 1751 1289 
解密 : 按照 算法 Cx (mod nn) 二 Mi, 如 0095”7(mod 2537) 一 1520。 


4. RSA 安全 性 分 析 


RSA 体制 的 加 密 强 度 依赖 于 大 数 分 解 的 困难 程度 。 采 用 穷 举 法 ,对 于 两 个 100 位 的 十 
进 制 大 素数 ,破译 它 大 约 需 要 10” 步 ,车 使 用 100 万 步 / 秒 的 计算 机 资源 对 其 进行 破 密 , 约 需 
要 1000 年 。 

但 是 ,人 类 的 计算 能 力也 在 不 断 提高 ,原来 一 些 被 认为 不 可 能 分 解 的 大 数 , 现 在 已 经 被 
成 功 分 解 。 例 如 ,RSA-129( 即 nn 为 129 位 的 十 进 制 数 , 约 428b), 历 时 8 个 月 ,已 经 于 1994 
年 4 月 被 成 功 分 解 。 而 且 有 报道 ,国外 科学 家 正在 用 量子 方法 对 大 数 分 解 发 起 冲击 。 

不 过 ,在 目前 的 情况 下 , 密 钥 长 度 在 1024 一 2048b 的 RSA 还 是 相对 安全 的 。 

为 了 保证 RSA 安全 性 ,对 p 和 g 还 有 如 下 要 求 : 

(1) p 和 9g 的 长 度 相 差 不 要 太 大 。 

(2) p 一 1 和 9g 一 1 都 应 当 有 大 数 因子 。 

《32 Bed(pO—159—1) 详 小 。 


2.1.5 密 钥 管理 


现代 密码 体制 有 点 像 门 锁 , 房 间 的 安全 主要 依赖 于 钥匙 。 也 更 像 现代 的 电子 锁 , 锁 门 的 
操作 (相当 于 加 密 算 法 ) 非 党 简单. 房间 的 安全 关键 在 于 卡片 式 钥匙 的 保管 ,而 一 旦 卡片 丢失 
或 房间 换 人 ,只 要 重新 对 卡片 进行 设置 即 可 。 按 照 * 一 切 秘密 富 于 密 钥 之 中 ”的 现代 密码 学 
基本 原则 , 密 钥 的 安全 保护 成 为 系统 安全 的 一 个 重要 方面 . 密 钥 管 理 是 系统 安全 中 的 一 件 至 
关 重 要 的 工作 。 


1. 密 钥 管理 的 一 般 过 程 

一 般 说 来 , 密 钥 管理 主要 包括 密 钥 的 生成 分配、 使 用 更新、 撤销、 销毁 等 一 系列 过 程 。 
下 面 简 要 介绍 这 些 过 程 。 

1) 密 钥 的 生成 

密 钥 生成 的 目的 是 生成 好 的 密 钥 。 对 于 对 称 加 密 来 说 , 密 钥 的 长 度 越 大 ,对 应 的 密 钥 空 
间 就 越 大 , 密 钥 的 强度 就 大 。 此 外 ,由 自动 密 钥 设备 生成 的 随机 比特 串 要 比 按照 某 种 规则 生 


成 的 密 钥 好 。 但 是 ,在 选择 随机 生成 的 密 钥 时 ,要 避免 选择 弱 密 钥 。 对 于 公 钥 密码 体制 来 
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说 , 密 钥 还 必须 满足 特定 的 数学 特征 。 

2) 密 钥 的 分 配 

在 密 钥 管理 中 ,最 核心 .最 关键 的 问题 是 密 钥 分 配 一 一 主要 涉及 密 钥 的 发 送 和 验证 。 前 
者 要 求 通 过 非常 安全 的 通路 进行 传送 ,后 者 要 求 有 一 套 机 制 用 于 检验 分 发 和 传送 的 正确 性 。 

密 钥 的 分 发 方法 可 以 分 为 两 种 : 网 外 分 发 和 网 内 分 发 。 网 外 分 发 即 人 工分 发 : 派 非常 
可 靠 的 信使 (邮寄 、 信 铅 等 ) 携 带 密 钥 分 配给 各 用 户 。 但 是 , 随 着 用 户 的 增加 、` 通 信 量 的 增 大 
以 及 黑客 技术 的 发 展 , 密 钥 的 使 用 量 增 大 , 且 要 求 频 繁 更 换 , 信 使 分 配 就 不 再 适用 ,而 多 采用 
网 内 密 钥 分 配 , 即 自动 密 钥 分 配 。 

网 内 密 钥 分 配 的 方式 有 两 种 : 用 户 之 间 直 接 分 配 和 通过 设立 一 个 密 钥 分 配 中 心 (Key 
Distribution Center,KDC) 分 配 。 具 体 过 程 由 密 钥 分 配 协议 决定 。 目 前 国际 有 关 标 准 化 机 
构 都 在 着 手 制定 关于 密 钥 管理 技术 的 规范 。 

3) 密 钥 的 控制 使 用 

控制 密 钥 使 用 ,是 为 了 保证 按照 预定 的 方式 使 用 。 控 制 密 钥 使 用 的 信息 有 以 下 几 项 : 

。 密 钥 主权 人 ; 

。 密 钥 合 法 使 用 期 限 ; 

。 密 钥 标识 符 ; 

。 密 钥 预 定 用 途 ; 

。 密 钥 预 定 算法 ; 

。 密 钥 预 定 使 用 系统 ; 

。 密 钥 授权 用 户 ; 

。 在 密 钥 生成 .注册 .证 书 等 有 关 实 体 中 的 名 字 等 。 

4) 密 钥 的 保护 与 存储 

密 钥 从 产生 到 终结 ,在 整个 的 生存 期 中 都 需要 保护 。 一 些 基 本 的 措施 如 下 : 

。 密 钥 决 不 能 以 明文 形式 存放 。 

。 密 钥 首先 选择 物理 上 最 安全 的 地 方 存 放 。 

。 在 有 些 系统 中 可 以 使 用 密 钥 碾 碎 技术 由 一 个 短语 生成 单 钥 密 钥 。 

。 可 以 将 密 钥 分 开 存 放 。 例 如 ,将 密 钥 平分 成 两 段 ,一 段 存 人 终端 ,一 段 存 人 ROM; 或 

者 将 密 钥 分 成 若干 片 , 分 发 给 不 同 的 可 信者 保管 。 

5) 密 钥 的 停 用 和 更 新 

任何 密 钥 都 不 可 能 无 限期 地 使 用 。 有 许多 因素 使 得 密 钥 不 能 使 用 太 长 的 时 间 , 密 钥 使 
用 得 越久 ,攻击 者 对 它 的 攻击 方法 越 多 ,攻击 的 机 会 越 多 。 密 钥 一 旦 泄露 , 若 不 立即 废除 ,时 
间 越 长 ,损失 越 大 。 因 此 ,不 同 的 密 钥 应 当 有 不 同 的 有 效 期 ,同时 必须 制定 一 个 检测 密 铀 有 
限期 的 策略 。 密 钥 的 有 限期 依据 数据 的 价值 和 给 定时 间 里 加 密 数 据 的 数量 确定 。 

当 发 生 下列 情 况 时 ,应 当 停止 密 钥 的 使 用 ,更 新 密 钥 。 

。 密 钥 的 使 用 期 到 ,应 该 更 新 密 钥 。 

。 确信 或 怀疑 密 钥 被 泄露 , 密 钥 及 其 所 有 变形 都 要 替换 。 

。 怀疑 密 钥 是 由 一 个 密 钥 加 密 密 钥 或 其 他 密 钥 推导 出 来 时 ,各 层 与 之 相关 的 密 钥 都 应 
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更 换 。 

。 通过 对 加 密 数 据 的 攻击 可 以 确定 密 钥 时 ,在 这 段 时 间 内 必须 更 换 密 钥 。 

。 确信 或 剑 疑 密 钥 被 非法 替换 时 ,该 密 钥 和 相关 密 钥 都 要 被 更 换 。 

6) 密 钥 的 销毁 

密 钥 被 替换 后 ,上 日 密 钥 必须 销毁 。 旧 密 钥 虽然 不 再 使 用 , 却 可 以 给 攻击 者 提供 许多 有 重 
大 参考 价值 的 信息 ,为 攻击 者 推测 新 的 密 钥 提供 许多 有 价值 的 信息 。 为 此 ,必须 保证 被 销毁 
的 密 钥 不 能 给 任何 人 提供 丝毫 有 价值 的 信息 。 下 面 是 在 销毁 密 钥 时 使 用 的 一 些 方法 : 

。 密 钥 写 在 纸 上 时 ,要 把 纸张 切 碎 或 烧毁 。 

。 密 钥 存在 EEPROM 中 时 ,要 对 EEPROM 进行 多 次 重 写 。 

。 密 钥 存在 EPROM 或 PROM 中 时 ,应 将 EPROM 或 PROM 打 碎 成 小 片 。 

。 密 钥 存在 磁盘 中 时 ,应 当 多 次 重 写 覆盖 密 钥 的 存储 位 置 ,或 将 磁盘 切 碎 。 

。 要 特别 注意 对 存放 在 多 个 地 方 的 密 钥 的 同时 销毁 。 


2. 密 钥 分 配方 法 举例 


密 钥 分 配 是 密 钥 管理 的 核心 。 下 面 介绍 几 种 密 钥 分 配方 法 。 

1) 密 钥 分 配 中 心 分 发 单 密 钥 

车 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 密 钥 分 配 中 心 ( KDC)。KDC 可 以 通过 
加 密 连 接 将 密 钥 安全 地 传送 给 A 和 B。 这 种 方法 多 用 于 单 钥 密 钥 的 分 配 。 图 2. 6 为 一 个 采 
用 这 种 方法 的 密 钥 分 配 例子 。 


图 2.6 一 个 依靠 KDC 进行 密 钥 分 配 的 例子 


这 个 例子 的 前 提 是 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 KDC, 即 KDC 分 别 与 A 
和 B 有 一 个 保密 的 信道 , 即 KDC 与 A 和 B 分 别 已 经 有 一 个 通信 和 密 钥 KA 和 Ks。 假定 A 与 
B 的 通信 是 A 主动 ,目的 是 通过 KDC 分 配 的 密 钥 与 B 建立 一 个 秘密 通信 通道 。 过 程 如 下 。 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 : IDa | | IDs | | Na 

。 IDa 和 IDs 标 识 会 话 双方 人 和 B。 

。 Na 标识 本 次 会 话 ( 可 能 是 时 间 戳 或 随机 数 等 一 个 他 人 难于 猜测 的 现时 值 ) 。 

(2) KDC 对 A 的 请 求 应 答 : Ex LK,||IDs| |Na||Ex,[L{K.||IDa}]j。 

全 部 报 文 用 A 已 经 掌握 的 密 钥 Ka。 加密, 内容 包 括 3 部 分 : 

。 一 次 性 会 话 密 钥 天 、。 

。 A 的 请 求 报 文 ( 供 A 检验 )。 

。 要求 A 中转, 但 A 不 能 知道 内 容 的 、 用 Ks 加 密 的 一 段 报 文 : K, | |IDa。 
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(3) A 存储 KK,, 并 向 BB 转发 : Eks[LK.|1IDs]。B 得 到 : 

。 K. ,还 知道 K. 来 自 KDC( 因 为 用 Ks 可 解密 ,而 A 不 知道 Ks, 只 有 KDC 知道 Ks)。 
。 由 IDA 知 道 会 话 方 是 A。 

(4) B 向 A 回 送 报 文 : Ek [Ne]。 

用 K. 表 明 自己 的 身份 是 B( 因 为 K. 要 用 Ks 解密 )。 

。 用 Ns 防止 回放 攻击 。 

(5) A 向 BB 回 送 报 文 : Ex.[/(CNs)]。 确认 B 前 次 收 到 的 报 文 不 是 回放 。 

这 样 ,A 与 B 就 有 了 自己 的 秘密 通道 了 。 

2) 无 中 心 的 单 钥 分 配 

图 2.7 是 在 无 KDC 或 不 依靠 KDC 时 A、B 两 方 建立 会 话 密 钥 的 过 程 。 
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图 2.7 一 个 无 中 心 的 单 密 钥 分 配 例子 


(1) A 向 B 发 出 会 话 请 求 : Na。 

Na 标识 本 次 会 话 ( 可 能 是 时 间 惟 或 随机 数 等 一 个 他 人 难于 猜测 的 现时 值 )。 

(2) B 对 A 的 请 求 应 答 : Evx [Ks||IDs||fCNA)|| Nsj。 

全 部 报 文 用 A、B 共享 的 主 密 钥 MK 加 密 , 内 容 包 括 4 部 分 : 

。B 选取 的 会 话 密 钥 K.; 

。 A 的 请 求 报 文 (包括 /(NA), 供 A 检验 ); 

。B 的 身份 IDs; 

。 标识 本 次 会 话 的 Na。 

(3) A 存储 人 .并 向 BB 返 回 用 天 .加 密 的 f(Ns), 供 B 检验。 

采用 这 种 密 钥 分 配方 法 ,在 每 一 对 通信 主体 之 间 都 需要 一 个 共享 主 密 钥 。 对 于 一 个 有 
n 个 通信 主体 的 网 络 , 主 密 钥 的 数量 达到 n(n 一 1)/2 个 。 当 网 络 较 大 时 ,这 种 方法 没有 什么 
实用 价值 。 而 依靠 KDC 进行 密 钥 分 发 仅 需 要 n 个 (KDC 与 每 个 通信 实体 之 间 共 享 的 ) 主 
密 钥 。 

3) 由 公 钥 管理 机 构 分 发 公 钥 

若 存 在 一 个 公 钥 管理 机 构 , 并 且 所 有 用 户 都 知道 该 公 钥 管理 机 构 的 公 钥 ,而 只 有 该 公 钥 
管理 机 构 知 道 自己 的 私 钥 , 则 可 以 采用 图 2. 8 所 示 的 方法 进行 A、B 公开 密 钥 体 制 的 密 角 
分 配 。 

这 个 过 程 分 为 7 步 。 

Q@ 用 户 A 向 公 钥 管理 机 构 发 出 请 求 报 文 ,内 容 如 下 : 

”一 个 带 时 间 戳 的 报 文 。 

。 请 求 获取 B 的 公 钥 的 请 求 。 

@ 公 钥 管理 机 构 对 A 应 答 ( 用 A 的 公 钥 加 密 ,A 用 自己 的 私 钥 解 密 )。 内 容 有 : 
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图 2.8 一 个 依靠 公 钥 管 理 机 构 进行 密 钥 分 配 的 例子 


。 忆 的 公 钥 PKs( 供 A 向 BB 发 加 密 报 文 ) 。 

。 和 A 的 请 求 ( 供 A 验证 本 报 文 是 对 自己 请 求 的 应 答 ) 。 

。 最 初 的 时 间 戳 ( 供 A 确认 不 是 公 钥 管理 机 构 发 来 的 旧 报 文 ,以 确定 PKs 是 B 的 )。 

加 .四 B 用 与 、@ 相 同 的 方法 ,从 公 钥 管理 机 构 得 到 A 的 公 钥 PK。。 

@@ A 用 PKs 向 B 发 送 一 个 报 文 ,内 容 如 下 : 

。 A 的 身份 IDA 。 

各 一 次 性 随机 数 和 NA。 

@ 了 B 用 PKA 向 A 发 送 一 个 报 文 ,内 容 如 下 : 

。 Na (由 于 只 有 B 才能 解密 用 PKs 加 密 的 报 文 ,将 Na 返回 A, 让 A 确认 是 B)。 

。 一 次 性 随机 数 Ns 。 

@ A 用 PKs 将 Ns 加 密 , 返 回 B, 供 B 确 认 。 

这 种 方法 是 基于 公 钥 目录 表 的 。 公 钥 目 录 表 是 由 某 个 可 信 的 公 钥 管理 机 构 管理 并 定期 
更 新 、 定 期 公布 的 用 户 公 钥 目 录 表 。 目 录 表 中 的 每 个 目录 项 由 两 个 数据 组 成 : 用 户 名 和 该 
用 户 的 公 钥 。 

用 户 可 以 在 公 钥 目录 表 的 管理 机 构 注 册 自 己 的 公 钥 ,也 可 以 随时 更 换 现 有 的 公 钥 ,还 可 
以 通过 电子 方式 在 有 安全 认证 的 情况 下 访问 公 钥 目录 表 。 

应 当 注意 的 是 , 公 钥 目录 表 可 能 会 被 攻击 者 伪造 .监听 攻击。 

4) 公 钥 证 书 

公 钥 证 书 是 由 CA(Certificate Authority, 证 书 授 权 中 心 或 认证 中 心 ) 为 用 户 发 布 的 一 
种 电子 证 书 。 例 如 用 户 A 的 证 书 内 容 形 式 为 

CA 一 Esk。[ 开 ,IDA ,PKA] 


其 中 : 

。 ID^s 是 用 户 A 的 标识 。 

”PK^ 是 A 的 公 钥 。 

。 工 是 当前 时 间 惟 ,用 于 表明 证 书 的 新 鲜 性 ,防止 发 送 方 或 攻击 者 重 发 一 个 旧 证 书 。 

。 SKca 是 CA 的 私 钥 。 证书 是 用 CA 的 私 钥 加 密 的 ,以 便 让 任何 用 户 都 可 以 解密 ,并 

确认 证 书 的 颁发 者 。 

当 一 方 要 与 男 一 方 建立 保密 信道 时 ,就 要 把 自己 的 证 书 发 给 对 方 。 接 收 方 用 CA 的 公 
钥 对 证 书 进行 查验 ,可 以 获得 发 送 方 的 公 钥 。 接 收 方 同意 进行 保密 通信 .也 要 将 自己 的 证 书 
发 送 给 对 方 。 这 样 , 就 不 依赖 CA 而 直接 交换 了 公 钥 。 
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2.1.6 流 密码 
1. 流 密码 概述 


如 前 所 述 ,一 个 加 密 体 系 的 安全 性 主要 系 于 密 铀 上 。 为 了 提高 安全 性 ,人 们 曾经 致力 于 
选取 尽 可 能 长 的 密 钥 。 但 是 ,长 密 钥 的 存储 和 分 配 都 很 困难 。 于 是 转 而 提倡 不 断 改变 密 钥 。 
早 在 1949 年 ,Shannon 就 已 经 证 明 :“ 一 次 一 密 ” 的 密码 体制 是 绝对 安全 的 。 

流 密码 (stream cipher) 也 称 序列 密 码 , 就 是 在 “一 次 一 密 ” 的 追求 中 发 展 起 来 的 一 种 密 
码 技术 。 那 么 ,如 何 实 现 “ 一 次 一 密 ” 呢 ? 人 们 可 以 从 随机 数 序 列 的 产生 中 得 到 启发 。 人 们 
知道 ,对 于 一 个 随机 数 发 生 器 , 当 对 其 输入 不 同 的 随机 数 种 子 时 ,就 会 生成 不 同 的 随机 数 序 
列 。 按 照 这 一 原理 ,对 一 个 密 钥 流 发 生 器 输入 不 同 的 种 子 密 钥 , 也 就 会 生成 不 同 的 密 钥 
序列 。 

流 密码 以 一 位 或 一 个 字 节 为 单位 ,使 用 密 钥 流 中 的 随机 密 钥 对 明文 进行 加 密 。 例 如 , 密 
钥 流 中 的 一 个 字 节 01001010 对 明文 流 中 的 一 个 字 节 10010011 进行 异 或 ,就 可 得 到 密 文 流 
中 的 一 个 字 节 11010011。 同 样 ,将 密 文 流 与 密 钥 流 异 或 ,就 可 以 得 到 明文 流 。 显 然 这 是 一 
种 对 称 加 密 技 术 。 


2. 同步 流 密 码 与 自 同 步 流 密码 


在 流 密码 技术 中 ,如果 密 钥 流 完全 独立 于 明文 流 或 密 文 流 , 则 称 这 种 流 密码 为 同步 流 密 
码 Csynchronous stream cipher) ;如 果 密 钥 流 的 产生 与 明文 流 或 密 文 流 有 关 , 则 称 这 种 流 密 
人 码 为 自 同步 流 密码 (self-synchronous stream cipher)。 图 2.9 为 同步 流 密码 与 自 同步 流 密 
人 码 示 意图 。 


安全 通道 分 配种 子 密 钥 流 上 | 
密 钥 流 发 生 器 密 钥 流 发 生 器 
密 钥 流 石 本 密 钥 流 慷 
明文 流 m; wy 二 一 一 一 一 一 传输 通道 _____ a 明文 流 m; 
密 文 流 c; 密 文 流 c; 
(a) 同步 流 密码 
安全 通道 分 配种 子 密 钥 流 k 
1 了 
密 钥 流 发 生 器 密 钥 流 发 生 器 
密 钥 流 乒 密 钥 流 厂 
国文 尖 nm | ee 信道 下 Zi 
密 文 流 c; 密 文 流 6; 


(b) 自 同步 流 密码 
图 2.9 同步 流 密码 与 自 同步 流 密码 的 比较 


所 谓 “ 同 步 ”, 是 指 在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 的 同步 ,接收 方才 能 正 
确 解密 。 如 果 通 信 过 程 中 丢失 或 增添 了 一 个 密 文字 符 ,接收 方 就 不 能 正确 解密 ,直到 同步 恢 
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复 。 这 种 现象 称 为 同步 密 钥 流 对 于 失 步 的 敏感 性 。 这 种 敏感 性 是 一 个 缺点 ,但 也 带 来 一 个 
优点 : 可 以 容易 地 检测 到 插入 、 删 除 、 重 播 等 攻击 。 男 一 方面 ,同步 流 密码 的 各 加 密 单元 (位 
或 字 节 ) 之 间 相 对 独立 , 互 不 相关 ,不 会 形成 错误 传播 。 

自 同步 流 密码 技术 是 让 每 一 个 加 密 单元 (位 或 字 节 ) 的 密 钥 除了 依赖 于 种 子 密 钥 , 还 依 
赖 于 前 面 个 明文 (或 密 文 ;加密 单元 。 采 用 这 种 密码 技术 ,如 果 在 传输 中 丢失 或 更 改 了 一 
个 加 密 单元 ,将 会 造成 这 一 错误 向 后 传播 个 加 密 单 元 。 不 过 ,在 收 到 个 正确 的 加 密 单元 
后 , 密 钥 流 又 会 自动 同步 。 


3. 密 钥 流 发 生 器 


流 密码 的 安全 性 完全 取决 于 它 的 密 钥 流 发 生 器 所 产生 的 密 钥 流 的 特性 。 可 以 想象 ,如 
果 一 个 密 钥 流 是 无 限 长 并 且 是 无 周期 性 的 真 随机 序列 , 则 才 是 真正 的 “一 次 一 密 ” 的 密码 体 
制 。 但 遗憾 的 是 ,任何 人 为 地 产生 的 随机 序列 都 不 可 能 达到 这 样 的 条 件 要 求 。 人 工 只 能 产 
生 伪 随机 序列 : 长 度 有 限 。 但 是 人 工 产生 的 伪 随 机 序列 接近 真正 随机 序列 的 程度 有 所 不 
同 。 这 种 不 同性 ,决定 了 随机 序列 的 特性 。 

为 了 便于 把 握 , 下 面 给 出 几 条 评价 密 钥 流 发 生 器 的 简单 标准 。 

(1) 所 产生 的 密 钥 序列 要 足够 长 。 

(2) 在 密 钥 流 中 ,0 和 1 的 出 现 频 率 应 接近 ;如 果 密 钥 流 是 字 节 流 , 则 256 种 可 能 字 节 的 
出 现 频率 应 接近 。 

(3) 种 子 密 钥 也 应 有 足够 的 长 度 , 最 少 不 能 小 于 128b。 

现在 人 们 已 经 开发 出 了 多 种 性 能 良好 的 密 钥 流 生成 器 ,所 采用 的 方法 有 以 下 几 种 : 

。 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register,LFSR ) 。 

。 非 线性 移 位 寄存 器 CNLFSR) 。 

。 有 限 自动 机 。 

。 混沌 密码 序列 等 。 

比较 有 名 气 的 算法 是 RSA 数据 安全 公司 的 Ron Rivest 于 1987 年 基于 移 位 寄存 器 方 
法 设计 的 RC4。 它 是 一 种 同步 流 密码 。 


2.1.7 信息 隐藏 
1. 数据 隐藏 及 其 处 理 过 程 


信息 隐藏 Cinformation hiding) 是 指 隐 项 数据 的 存在 性 ,通常 是 把 一 个 秘密 信息 (secret 
message) 隐 藏 在 另 一 个 可 以 公开 的 信息 载体 (cover) 之 中 ,形成 新 的 隐秘 载体 (stego 
cover)。 目 的 是 不 让 非法 者 知道 隐秘 载体 中 是 否 隐 藏 了 秘密 信息 ,并 且 即 使 知道 也 难于 从 
中 提取 或 去 除 秘密 信息 。 
信息 隐藏 与 数据 加 密 都 是 用 来 保护 信息 机 密 性 的 手段 ,并 且 信息 隐藏 技术 也 承袭 了 数 
据 加 密 的 一 些 基 本 思想 和 概念 ,例如 信息 隐藏 的 过 程 也 可 以 利用 密 钥 进行 控制 。 但 是 ,信息 
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隐藏 与 数据 加 密 所 采用 的 技术 手段 不 同 。 数 据 加 密 的 基本 方法 是 编码 ,通过 编码 将 明文 变 
换 为 密 文 。 而 信息 隐藏 是 隐藏”, 使 非法 者 难以 找到 秘密 信息 。 一 般 多 用 多 媒体 数据 作为 
载体 。 这 是 因为 多 媒体 数据 本 身 具 有 极 大 的 了 元 余 性 ,具有 较 大 的 掩蔽 效应 。 

图 2. 10 表明 了 信息 的 隐藏 过 程 和 提取 过 程 。 


| 车 = | 提取 算法 上 4 ~ | 逆 预 处 理 上 
- 妇 -| 预 处 理 | 和 妇 -~| 嵌入 算法 | 之 | le 
(a) 信息 隐藏 过 程 (b) 信息 提取 过 程 


图 2. 10 ”信息 的 隐藏 过 程 和 提取 过 程 


信息 隐藏 过 程 如 下 : 

(1) 对 原始 报 文 M 进行 预 处 理 ( 如 加 密 、 压 缩 等 ) 形 成 隐藏 报 文 M' 。 

(2) 在 密 钥 Ki 的 控制 下 ,通过 舱 入 算法 (embedding algorithm) 将 隐藏 报 文 M' 隐藏 于 
公开 信息 载体 C 中 ,形成 隐秘 载体 S。 

信息 提取 过 程 如 下 : 

(1) 在 密 钥 K; 的 控制 下 ,使 用 提取 算法 从 隐秘 载体 S 中 提取 出 隐藏 报 文 M ' 。 

(2) 对 隐藏 报 文 M' 进行 解密 、 解 压 等 逆 预 处 理 , 恢 复出 原来 的 报 文 M。 


2. 信息 隐藏 技术 分 类 


对 信息 隐藏 技术 可 以 进行 如 下 分 类 : 
1) 按照 载体 类 型 分 类 
按照 载体 类 型 可 将 信息 隐藏 技术 分 为 如 下 几 类 : 
(1) 文本 载体 信息 隐藏 ; 
(2) 图 像 载体 信息 隐藏 ; 
(3) 声音 载体 信息 隐藏 ; 
(4) 视频 载体 信息 隐藏 
(5) 二 进 制 流 载体 隐藏 等 。 
2) 按照 控制 密 钥 分 类 
按照 控制 密 钥 可 将 信息 隐藏 技术 分 为 如 下 几 类 : 
(1) 对 称 隐藏 算法 ; 
(2) 公 钥 隐藏 算法 。 
3) 按照 隐藏 位 置 分 类 
按照 隐藏 位 置 可 将 信息 隐藏 技术 分 为 如 下 几 类 : 
(1) 信道 隐藏 : 利用 信道 固有 的 特性 进行 信息 隐藏 。 目 前 主要 有 两 类 : 基于 网 络 模 型 
的 信息 隐藏 和 基于 扩 频 的 信息 隐藏 。 
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(2) 空域 /时 域 信 息 隐 藏 : 利用 待 隐 藏 信息 位 替换 载体 中 的 一 些 最 不 重要 的 位 。 例 如 ， 
把 表示 一 个 像素 点 灰 度 的 数值 中 的 180 替换 为 181 ,不 会 产生 太 大 影响 。 

(3) 变换 域 信息 隐藏 : 把 待 隐 藏 信息 能 和 人 到 载体 的 变换 空间 (如 频 域 ) 中 。 这 种 方法 具 
有 分 布 性 、 可 变换 性 和 较 高 的 鲁 棒 性 。 


2.2 消息 认证 一 一 完整 性 保护 
2.2.1 数据 完整 性 保护 与 消息 认证 


1. 数据 完整 性 保护 的 概念 


数据 的 完整 性 保护 是 针对 如 下 3 种 攻击 所 采取 的 措施 : 

(1) 内 容 算 改 (content modification) ,包括 对 报 文 内 容 的 插入 、 删 除 、 改 变 等 。 
(2) 序列 算 改 (sequence modification) ,包括 对 报 文 序列 的 插入 、 删 除 、 错 序 等 。 
(3) 时 间 自 改 (timing modification) ,对 报 文 进行 延迟 或 回放 。 

也 就 是 说 ,数据 的 完整 性 包括 了 内 容 完整 性 .序列 完整 性 和 时 间 完 整 性 。 


2. 消息 认证 的 概念 


消息 认证 (message authentication) 也 称 报 文 鉴别 ,是 用 于 验证 所 收 到 的 消息 确实 来 自 
真正 的 发 送 方 ,并 未 被 算 改 ,检测 传输 和 存储 的 消息 ( 报 文 ;有 无 受到 完整 性 攻击 的 手段 , 包 
括 消 息 内 容 认 证 .消息 的 序列 认证 和 操作 时 间 认 证 等 。 其 核心 是 消息 ( 报 文 ) 的 内 容 认 证 。 
消息 的 序列 认证 的 一 般 办 法 是 给 发 送 的 报 文 加 一 个 序列 号 ,接收 方 通过 检查 序列 号 来 鉴别 
报 文 传送 的 序列 有 没有 被 破坏 。 消 息 的 操作 时 间 认 证 也 称 数据 的 实时 性 保护 ,通常 可 以 采 
用 时 间 惟 或 询问 -应 答 机 制 进行 确认 。 

从 功能 上 看 ,一 个 消息 认证 系统 分 为 两 个 层次 : 低层 是 认证 函数 ,上 层 是 认证 协议 。 关 
于 认证 协议 在 后 面 讨论 , 这 里 主要 讨论 认证 函数 。 认 证 函数 的 功能 是 能 够 由 报 文 产生 一 个 
鉴别 码 。 


3. 鉴别 码 的 传递 与 用 法 


图 2. 11 给 出 鉴别 码 的 4 种 传送 与 使 用 方法 。 图 中 的 下 为 鉴别 码 生 成 函数 ,CMD) 为 鉴 
别 码 ,K 为 对 称 加 密 密 钥 ,SK 和 PK 为 非 对 称 加 密 的 私 钥 和 公 钥 ,FE 为 加 密 ,D 为 解密 。 

可 以 看 出 ,使 用 鉴别 码 可 以 在 接收 方 进行 报 文 是 否 受 到 内 容 完整 性 攻击 的 鉴别 依据 。 
其 中 ,Ca)、(d) 用 于 对 报 文 有 机 密 性 保护 的 场合 ,(b)、(c) 用 于 对 报 文 不 要 求 机 密 性 保护 的 场 
合 。 当 然 还 可 以 有 其 他 传送 与 使 用 方法 ,这 里 不 再 介绍 。 


4. 鉴别 码 生 成 函数 
进行 完整 性 保护 的 基本 思路 是 从 原来 的 报 文 生成 一 个 具有 唯一 性 的 鉴别 码 , 并 且 传 递 
是 秘密 的 。 这 样 将 报 文 及 其 鉴别 码 一 同 传送 到 目的 方 后 ,用 同样 的 方法 从 接收 的 报 文 再 生 
成 一 次 鉴别 码 , 由 于 鉴别 码 具 有 唯一 性 ,比较 两 个 鉴别 码 , 就 能 证 实 报 文 在 传送 过 程 中 有 没 
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图 2.11 鉴别 码 的 4 种 用 法 
插入 或 修改 过 。 


有 被 删除 、 


按照 这 一 思路 , 若 将 报 文 的 密 文 与 明文 一 同 传送 ,接收 方 再 从 明文 生成 一 次 密 文 , 再 对 
两 个 密 文 进行 比较 ,就 可 以 进行 报 文 的 完整 性 鉴别 。 但 是 ,这 种 鉴别 码 太 长 ,传送 效率 太 低 。 
传统 的 宛 余 校 验 码 也 可 以 看 作 是 一 种 简单 的 消息 认证 方法 。 但 它 主要 用 于 防止 人 工 操 
作 或 传输 中 的 偶然 错误 。 若 用 于 对 付 攻击 者 ,就 勉 为 其 难 了 。 因 为 这 些 算法 比较 简单 而 且 
是 公开 的 ,技术 熟练 者 完全 可 以 成 功 地 旁 路 这 些 检测 。 
目前 广 为 采 用 的 生成 报 文 鉴别 码 的 方法 主要 有 两 种 : 
(1) 基于 MAC(CMessage Authentication Code, 消 息 认 证 码 ) 的 方法 。MAC 也 称 密码 


校 验 和 ,是 使 用 一 个 由 密 钥 控制 的 鉴别 码 生 成 函数 基于 报 文 产生 的 固定 长 的 鉴别 码 。 图 2. 12 


为 基于 MAC 的 消息 认证 过 程 ,其 中 C 为 MAC 生成 函数 。 


| | 

M M | | | 1 M C | 

| 
图 2. 12 基于 MAC 的 消息 认证 过 程 


“: TL29 a 


(2) 基于 报 文 (消息 ) 摘 要 (Message Digest,MD) 的 方法 。 报 文摘 要 也 称 单 向 杂凑 码 或 
单 向 散 列 码 , 是 将 报 文 使 用 单 向 杂凑 (hash, 也 译 为 哈 希 或 散 列 ) 函 数 变 换 成 为 具有 固定 长 度 
的 鉴别 码 。 它 具有 两 个 主要 特点 : 一 是 不 使 用 密 钥 ,仅仅 是 输入 消息 的 函数 :二 是 具有 错误 
检测 能 力 , 输 入 报 文中 任何 一 位 或 多 位 的 改变 都 会 导致 其 摘要 ( 散 列 码 ) 的 改变 。 图 2. 13 为 
将 一 个 报 文 M 利用 杂凑 函数 互 得 到 MD 的 过 程 。 
M 


Hash functions were introduced in cryptology in the late seventies as a tool 


MD=H(M) 


to protect the authenticity of information. Soon it became clear that they 入 
were a very useful building block to solve other security problems in 302061S1063 
telecommunication and computer networks. This paper sketches the history 


of the concept, discusses the applications of hash functions, and preents the 


approaches that have been followed to construct hash functions. 


图 2.13 报 文摘 要 的 生成 


2.2.2 MAC 函数 


1. MAC 函数 的 特点 


MAC 函数 是 消息 M 和 密 钥 KK 的 函数 , 即 MAC 二 CCM,R) 或 MAC 一 Cx (M)。 从 形式 
上 看 ,MAC 函数 与 对 称 加 密 函 数 极为 类 似 , 都 需要 一 个 信 源 端 和 信和 宿 端 共享 的 密 钥 。 但 
是 ,它们 又 有 本 质 上 的 区 别 : 

(1) 加 密 算 法 要 求 可 逆 性 ,而 MAC 算法 不 要 求 可 逆 性 。 

(2) 加 密 函 数 明文 长 度 与 密 文 长 度 一 般 相 同 , 是 一 对 一 的 函数 ,而 MAC 函数 则 是 多 对 
一 的 函数 ,其 定义 域 由 任意 长 的 消息 组 成 .而 值 域 则 由 MAC 比特 的 比特 位 构成 。 若 报 文 长 
度 为 m 位 ,MAC 长度 为 nn 位 , 则 有 2” 种 报 文 对 应 2" 种 MAC。 由 于 光一 记 n, 所 以 一 定 存在 
不 同 的 报 文 产生 相同 的 MAC。 例 如 ,使 用 100b 的 报 文 和 10b 的 MAC, 则 有 2” 种 报 文 对 
应 2 种 MAC ,平均 而 言 ,22" /2 一 2 个 报 文具 有 相同 的 MAC。 

(3) MAC 函数 比 加 密 函 数 更 不 容易 攻破 ,因为 即便 攻破 ,也 无 法 验证 其 正确 性 。 


2. 安全 的 MAC 函数 应 具备 的 性 质 


一 个 安全 的 MAC 函数 应 具备 下 列 性 质 。 

(1) 对 于 已 知 的 M 和 MAC, 要 找到 满足 MAC’ 二 MAC 的 另 一 个 M ,在 计算 上 是 不 可 
能 的 。 

(2) Cx (MD) 应 当 是 均匀 分 布 的 , 则 对 于 任何 随机 选择 的 报 文 M 和 M', 找 到 Ck CM ) 一 
Cx (MWD 的 概率 是 2,n 为 MAC 的 位 数 。 

(3) 若 M 是 M 的 一 个 已 知 变换 , 则 找到 Ck CM) 二 Cx CM) 的 概率 是 2 。 

因此 , 若 只 有 收发 双方 才 知 道 密 钥 ,并 且 接 收 到 的 MAC 与 计算 出 的 MAC 相等 , 则 
接收 方 可 以 相信 : 

(1) 接收 到 的 消息 未 被 修改 。 

(2) 接收 到 的 消息 来 自 真正 的 发 送 方 。 

(3) 如 果 消 息 中 含有 序列 号 , 则 消息 的 顺序 也 是 正确 的 。 
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3. 安全 的 MAC 函数 对 密 钥 长 度 的 要 求 


安全 的 MAC 函数 要 求 密 钥 具有 足够 的 长 度 。 这样 可 以 使 得 攻击 者 用 穷 举 方法 确定 
MAC 密 钥 成 为 不 很 容易 的 事情 。 

从 MAC 认证 的 理论 上 看 , 仅 需 要 一 个 源 、 宿 共享 的 密 钥 。 但 这 种 情况 下 只 能 提供 认证 而 
不 能 提供 保密 性 保护 ,因为 报 文 是 以 明文 传送 的 。 若 将 MAC 附 在 报 文 后 面 对 整 个 报 文 进行 
加 密 , 则 既 可 提供 认证 又 可 提供 保密 。 但 这 需要 两 个 独立 的 密 钥 ,并 要 被 源 、 宿 两 方 共享 。 


4. CBC-MAC 


CBC-MAC 也 称 数 据 认 证 算法 ,是 建立 在 DES 基础 上 ,基于 分 组 密码 ,并 按照 CBC 
(Cipher Block Chaining , 密 文 块 链接 ) 模 式 操作 的 MAC 构造 方法 之 一 ,也 是 ANSI 的 一 个 
标准 ,如 图 2. 14 所 示 。CBC 模式 的 基本 特点 如 下 : 


第 1 次 第 2 次 ee 第 N-1 次 第 N 次 
64b 报 文 分 组 | DD D, Dw Dy 
初始 向 量 1 a 
0, ? 

kK, DES 天 。| DES | DES 天 。| DES 

加 密 加 密 加 密 加 密 

64b 窗 文 组 | O 0;, | 2 Ov Oy 
MAC 

(16~64b) 


图 2.14 数据 认证 算法 


(1) 将 要 认证 的 数据 分 成 连续 的 64b 的 分 组 Di ,D: ,…,Dx , 若 最 后 的 分 组 不 足 64b ,在 
其 后 加 0, 补足 64b。 

(2) 每 个 分 组 在 用 密 钥 加 密 之 前 要 先 与 前 一 组 的 密 文 组 进行 异 或 运算 生成 其 加 密 过 程 
的 种 子 向 量 。 初 始 向 量 Ou 取 零 。 

(3) 最 后 的 MAC 用 Ow 最 左边 M 位 表示 ,并且 16b 寺 M64b。 


2.2.3 哈 希 函数 


哈 希 (Hash) 函数 也 称 散 列 函 数 或 杂凑 函数 , 它 能 把 任意 长 的 输入 消息 串 ( 又 叫做 预 映 
射 ,pre-image) 通 过 哈 希 算法 变换 成 国定 长 度 的 输出 串 ,该 输出 就 是 哈 希 值 。 简 单 地 说 , 哈 
希 函 数 就 是 一 种 将 任意 长 度 的 消息 压缩 到 某 一 固定 长 度 的 消息 摘要 的 函数 。 

1. 对 哈 希 函数 的 一 般 要 求 

报 文摘 要 就 像 是 需要 鉴别 的 数据 的 一 个 "指纹 ”。 为 了 实现 对 于 消息 的 鉴别 , 哈 希 函数 
应 具备 以 下 的 性 质 : 


(1) 有 HO 〇 可 应 用 于 任意 长 度 的 输入 数据 块 .产生 固定 长 度 的 哈 希 值 。 
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(2) 对 于 每 一 个 给 定 输入 数据 M, 计 算出 它 的 哈 希 值 /一 五 CM) 很 容易 。 

(3) 给 定 喻 希 值 , 倒 推出 输入 数据 M 在 计算 上 不 可 行 , 即 单 向 性 。 

(4) 对 于 给 定 的 报 文 M 和 其 哈 希 值 h ,要 找到 另 一 个 M 了 关 M, 使 昌 (M') 一 有 H(MD) 极 其 
困难 , 即 弱 抗 磁 撞 (collision) 性 。 

在 某 些 应 用 中 , 散 列 函数 还 需要 满足 下 列 条 件 : 

(5) 找到 任何 满足 电 (M) = 二 HOM ) 且 M 关 M 的 报 文 对 (M,M ) 在 计算 上 是 不 可 行 的 ， 
即 强 抗 碰撞 性 。 

碰撞 性 是 指 对 于 两 个 不 同 的 报 文 , 如 果 它 们 的 摘要 值 相同 , 则 发 生 了 碰撞 。 

性 质 (1) 是 将 哈 希 函数 应 用 于 消息 认证 的 实际 需求 。 

性 质 (2) 和 (3) 是 单 向 性 ,由 给 定 消息 产生 哈 希 值 很 简单 ,而 给 定 哈 希 值 则 不 可 能 产生 对 
应 的 消息 。 

性 质 (4) 保 证 无 法 找到 一 个 替代 报 文 , 使 它 的 哈 希 值 与 给 定 消息 产 生 的 哈 希 值 相同 ,能 
防止 伪造 。 

性 质 (5) 指 的 是 哈 希 函数 对 已 知 的 生日 攻击 方法 的 防御 能 力 。 

哈 希 函数 并 不 提供 机 密 性 ,并 且 它 们 不 使 用 密 钥 以 生成 摘要 。 哈 希 函 数 非常 适合 于 认 
证 和 确保 数据 的 完整 性 。 

例 2.7 设 报 文 有 m 组 分 组 , 哈 希 人 码 C 的 长 度 为 n 位 , 则 某 一 位 哈 希 码 Ci; 可 以 这 样 简 

二 Bn 中 Bi 中 … 中 Bi。 

当然 , 它 并 不 完全 满足 对 哈 希 函数 的 要 求 。 典 型 的 报 文 摘要 算法 有 MD5 (Riverst 提 
出 ,1992 年 RFC 1321 公布 , 码 长 128b) 和 安全 散 列 算法 SHA(Secure Hash Algorithm ,人 码 
长 160b) 。 由 于 SHA 比 MD5 多 了 32b, 所 以 更 安全 ,但 要 慢 些 。 


2. 报 文 摘要 算法 MDS 


MD5(1991) 是 沿 着 MD2(1989)、MD4(1990) 的 轨迹 进化 形成 的 报 文摘 要 算法 的 最 新 
版 本 。 它 的 开发 者 是 作为 RSA 算法 设计 者 之 一 的 Ronald L. Riverst。MD5 不 以 任何 假设 
和 密码 体制 为 基础 ,是 一 个 直接 构造 出 来 的 算法 。 它 的 主要 特点 如 下 : 

(1) 单 向 性 : 由 报 文生 成 报 文摘 要 ,但 不 能 由 报 文摘 要 还 原 为 报 文 。 

(2) 无 碰撞 性 : 对 于 不 同 的 报 文 不 会 产生 两 个 相同 的 报 文摘 要 。 

(3) 运算 速度 快 , 应 用 比较 普遍 。 

1) MD5 的 主要 应 用 

MD5 主要 应 用 在 如 下 两 个 方面 : 防 算 改 鉴别 和 加 密 。 

MD5 的 典型 应 用 是 对 一 段 报 文 产生 一 个 128b 的 报 文摘 要 。 例 如 ,在 UNIX 下 有 很 多 
软件 在 下 载 的 时 候 都 有 一 个 扩展 名 为 . md5 的 文件 ,在 这 个 文件 中 通常 只 有 一 行文 本 ,大致 
结构 如 下 : 


MD5 (tanajiya.tar.gz) =0cal75b9c0f726a831d895e269332461 


这 就 是 tanajiya. tar. gz 文件 的 数字 签名 。 如 果 在 以 后 传播 这 个 文件 的 过 程 中 ,无 论文 
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件 的 内 容 发 生 了 任何 形式 的 改变 (包括 人 为 修改 或 者 下 载 过 程 中 线路 不 稳定 引起 的 传输 错 
误 等 ) ,只 要 对 这 个 文件 重新 计算 MD5 值 就 会 发 现 报 文摘 要 不 相同 ,由 此 可 以 确定 得 到 的 
只 是 一 个 不 正确 的 文件 。 如 果 再 有 一 个 第 三 方 的 鉴别 机 构 , 用 MD5 还 可 以 防止 文件 作者 
的 “抵赖 ”, 这 就 是 所 谓 的 数字 签名 应 用 。 

在 加 密 系 统 中 ,密码 的 保管 至 为 重要 。 由 于 具有 系统 管理 员 权 限 的 用 户 可 以 读 密 码 文 
件 , 所 以 常规 保存 的 密码 文件 对 具有 系统 管理 员 权 限 的 用 户 就 无 秘密 可 言 。 而 MD5 的 单 
向 性 和 无 碰撞 性 使 得 用 户 密 码 可 以 用 MD5 (或 其 他 类 似 的 算法 ) 加 和 密 后 存储 。 当 用 户 登 录 
的 时 候 , 系 统 把 用 户 输入 的 密码 计算 成 MD5 值 ,然后 再 去 和 保存 在 文件 系统 中 的 MD5 值 
进行 比较 ,进而 确定 输入 的 密码 是 否 正 确 。 这 样 ,系统 就 可 以 在 不 知道 用 户 密码 的 明码 的 情 
况 下 确定 用 户 登 录 系 统 的 合法 性 ,不 但 可 以 避免 用 户 的 密码 被 知道 ,而 且 还 在 一 定 程度 上 增 
加 了 密码 被 破解 的 难度 。 

2) MD5 算法 描述 

MD5 算法 的 基本 轮廓 如 下 : 

(1) 以 512b 分 组 来 处 理 输入 的 报 文 。 

(2) 每 一 分 组 又 被 划分 为 16 个 32b 子 分 组 。 

(3) 经 过 了 一 系列 的 处 理 后 ,输出 4 个 32b 分 组 放 在 4 个 链接 变量 (chaining variable) 
或 称 寄存 器 A、B、C.D 中 。 

(4) 将 4 个 链接 变量 进行 级 联 , 生 成 一 个 128b 的 哈 希 值 。 

上 述 轮廓 可 以 分 为 如 下 4 步 完 成 。 

第 1 步 : 数据 扩展 。 将 报 文 按照 图 2. 15 的 格式 用 100…0 进行 填充 ,并 附加 一 个 64b 
的 原始 报 文 长 度 字段 ,使 得 总 长 度 为 512b 的 整数 倍 。 应 当 注 意 ,填充 是 必须 的 , 若 报 文 长 度 
为 (512b 的 整数 倍 一 64b) , 则 还 需 填 充 一 个 512b 长 度 的 填充 字段 。 
512b 的 整数 倍 


区 报 文 长 度 J 64b 
报 文 100…0 报 文 长 度 


图 2.15 数据 准备 格式 


第 2 步 : 初始 化 MD 缓冲 区 。 使 它们 的 十 六 进 制 初始 值 分 别 为 
A 一 0x01234567 ,如一 0x89abcdef ,C= 二 Oxfedcba98,D 二 0x76543210 

第 3 步 : 报 文 切 块 。 按 照 512b 的 长 度 , 将 报 文 分 割 成 N 十 1 个 分 组 : Yo ,Yi ，…,Yw。 
每 一 分 组 又 可 以 表示 为 16 个 32b 的 字 。 

第 4 步 : 依次 对 各 分 组 进行 厅 vwos 压缩 生成 MD5 值 。 如 图 2. 16 所 示 ,从 分 组 Ye 开始 到 
最 后 一 个 分 组 Yn ,依次 进行 五 wps 压 缩 运 算 。 每 个 wns 有 两 个 输入 (一 个 128b 的 CV。 和 一 
个 512b 的 分 组 Y,) 和 一 个 128b 输出 ;最 开始 的 128b 输入 为 4 个 32b 的 链接 变量 ;以 后 每 
个 互 wos 的 输出 作为 下 一 个 128b 输入 。 最 后 一 个 128b 输出 即 所 求 的 MD5 值 。 显 然 , 这 个 
过 程 可 以 用 循环 或 递归 实现 。 

Huw 算法 是 MD5 的 关键 函数 。 它 的 计算 由 4 轮 处 理 组 成 ,每 一 轮 又 包括 了 16 个 操 
作 ,总 共 64 次 操作 ,每 一 次 操作 要 使 用 一 个 常数 。 关 于 它 的 细节 这 里 不 再 介绍 。 需 要 说 明 
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图 2.16 依次 对 各 分 组 进行 及 ws 压缩 生成 MD5 值 


的 是 ,MD5 曾经 被 人 们 认为 是 无 碰撞 的 。 但 是 ,在 2004 年 8 月 17 日 在 美国 加 州 圣 巴巴 拉 
召开 的 国际 密码 学 会 议 (Crypto”2004) 上 ,我 国 山东 大 学 教授 王小云 宣布 她 已 经 找到 了 使 
MD5 产生 碰撞 的 方法 。 但 是 ,目前 人 们 还 没有 找到 MD5 的 合适 的 代替 方案 。 


3. 安全 哈 希 算法 SHA 


SHA(Secure Hash Algorithm ,安全 哈 希 算法 ) 是 由 NIST 和 NSA 开发 的 ,于 1993 年 
作为 美国 联邦 信息 处 理 标准 (FIPS PUB 180) 公 布 ,1995 年 修订 为 FIPS PUB 181,1995 年 
修订 为 SHA-1。 另 外 还 有 4 种 变 体 曾 经 发 布 , 以 提升 输出 的 范围 和 变更 一 些 细微 设计 : 
SHA-224 .SHA-256 .SHA-384 和 SHA-512 (名 称 中 的 数字 代表 摘要 长 度 )。 

SHA 基于 MD4 算法 ,SHA 的 设计 很 近似 于 MD4 模型 。SHA 在 用 于 数字 签名 的 标准 
算法 (DSS) 中 也 是 安全 性 很 高 的 一 个 哈 希 算法 。 该 算法 的 输入 为 小 于 264b 长 的 任意 消息 ， 
分 为 512b 长 的 分 组 ,输出 为 160b 长 的 消息 摘要 。 因 为 它 能 产生 160b 的 哈 希 值 ,所 以 , 抗 穷 
举 攻击 能 力 更 强 。 

SHA 与 MD5 都 是 来 自 MD4, 所 以 它们 有 许多 相似 之 处 。 这 里 对 SHA 的 细节 不 作 介 
绍 , 仅 在 表 2.7 中 对 这 两 种 报 文摘 要 算法 进行 比较 。 

表 2.7 MD5s 与 SHA-1 的 比较 


算 ”法 | 摘要 长 度 /b | 最 大 报 文 长 度 | 分 组 处 理 长 度 /b 常数 个 数 


总 之 ,SHA-1 比 MD5 抗击 穷 举 搜索 的 强度 高 ,但 执行 速度 较 慢 。 
实验 6 实现 报 文 认证 算法 


1. 实验 目的 

(1) 加 深 对 报 文 认 证 算法 的 理解 (如 哈 希 函数 的 概念 及 密 钥 指纹 的 生成 方法 )。 
(2) 掌握 报 文 认证 算法 的 应 用 方法 。 

2. 实验 内 容 


(1) 运行 一 种 报 文 认证 算法 (MD5、SHA 等 ) 程 序 。 
(2) 测试 运行 的 报 文 认证 算法 程序 。 
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(3) 分 别 按照 下 面 的 一 种 模式 使 用 上 述 报 文 认证 算法 并 进行 比较 。 

@ 报 文 与 鉴别 码 链接 后 ,用 单 钥 加 密 传送 。 

@ 仅 对 鉴别 码 用 单 钥 加 密 ,然后 再 与 被 认证 报 文 链接 传送 。 

@ 用 公 钥 加 密 算 法 使 用 发 方 私 钥 仅 对 鉴别 码 加 密 , 然 后 再 与 被 认证 报 文 链接 传送 。 

@ 用 公 钥 加 密 算 法 使 用 发 方 私 钥 仅 对 鉴别 码 加 密 , 与 被 认证 报 文 链接 ,再 用 单 钥 加 密 
后 传送 。 

@ 将 报 文 与 通信 双方 共享 的 秘密 值 S 连接 后 计算 鉴别 码 , 附 加 到 被 认证 报 文 上 发 送 。 


3. 实验 准备 


(1) 可 根据 不 同 要 求 ,选择 进行 下 面 的 工作 之 一 : 

Q@ 下载 一 种 报 文 认 证 算法 的 程序 源 代码 ,进行 解析 。 
@ 自己 设计 实现 一 种 报 文 认证 程序 。 

(2) 编译 .调试 上 述 程序 。 

(3) 设计 完成 实验 内 容 的 环境 和 步骤 。 


4. 推荐 的 分 析 讨 论 内 容 


(1) 你 知道 哪些 报 文 认证 算法 ?” 试 进行 比较 。 

(2) 分 别 分 析 报 文 认证 算法 的 几 种 不 同 使 用 模式 对 于 保证 数据 在 机 密 性 、 完 整 性 以 及 
在 防范 伪造 .抵赖 、 冒 充 、 算 改 风 险 方面 的 作用 。 

(3) 这 种 认证 算法 安全 吗 ? 有 没有 看 到 关于 它 的 可 攻击 的 报道 ? 试 到 网 上 搜索 一 下 。 

(4) 其 他 发 现 或 想到 的 问题 。 


2.3.1 数字 签名 及 其 特征 


在 日 常生 活 中 ,为 了 确认 一 件 作 品 及 其 源 出 处 , 常 需 要 采取 签名 、 落 款 、 骑 缝 章 等 手段 ， 
以 便于 鉴别 。 在 数据 通信 过 程 中 ,有 时 会 发 生 一 方 对 另 一 方 的 如 下 一 些 欺 骗 行为 : 

” 否认 。 发 送 方 否认 自己 发 送 过 的 某 个 报 文 ,或 接收 方 接收 一 个 报 文 后 ,否定 接收 过 。 

。 冒充 。 发 送 方 冒充 第 三 方 给 接收 方 发 送 报 文 。 

。 伪造 。 某 一 方 自己 伪造 一 份 报 文 , 却 声称 来 自 对 方 。 

。 算 改 。 接 收 方 收 到 一 份 报 文 后 进行 修改 ,却说 这 是 对 方 发 来 的 报 文 原样 。 

面 对 这 些 问题 ,在 通信 双方 尚未 建立 起 信任 关系 且 存 在 利害 冲突 的 情况 下 ,单纯 的 报 文 
鉴别 是 无 能 为 力 的 。 为 此 不 得 不 采用 数字 签名 (digital signature)。 

在 ISO 7498-2 标准 中 ,数字 签名 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 
单元 所 作 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 和 数 
据 单 元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 ”。 

数字 签名 是 实现 数据 的 不 可 否认 性 保护 的 机 制 。 为 了 达到 这 一 目的 , 它 应 当 具 有 与 手 
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工 签名 一 样 的 性 质 : 
。 签名 是 可 信和 的。 
。 签名 是 无 法 被 伪造 的 。 
。 签名 不 可 以 重复 使 用 。 
。 签名 以 后 不 可 以 被 自 改 。 
。 签名 具有 不 可 否认 性 。 
从 有 效 性 和 可 行 性 出 发 ,对 数字 签名 技术 有 以 下 要 求 : 
。 签名 的 结果 必须 是 与 签名 的 报 文 相关 的 二 进 制 位 串 。 
。 签名 要 能 够 验证 签名 者 的 身份 以 及 签名 的 日 期 和 时 间 。 
。 签名 能 够 用 于 证 实 被 签 报 文 的 内 容 的 真实 性 。 
。 签名 的 产生 .识别 和 验证 应 比较 容易 。 
。 数字 签名 应 当 可 以 被 备份 。 
。 用 已 知 的 签名 构造 一 个 新 的 报 文 或 由 已 知 的 报 文 产生 一 个 假冒 的 签名 ,在 计算 上 都 
是 不 可 行 的 。 
。 签名 可 以 由 第 三 方 验证 ,以 解决 双方 在 通信 中 的 争议 。 


2.3.2 直接 数字 签名 


所 谓 直接 方式 ,就 是 签名 过 程 只 有 发 送 方 和 接收 方 参与 。 实 施 这 种 方法 的 前 提 是 接收 
方 可 以 通过 某 种 方式 验证 发 送 方 提交 的 凭证 ,也 可 以 在 发 生 争议 时 将 该 凭证 交 第 三 方 仲裁 。 

那么 ,用 什么 作为 直接 数字 签名 的 凭证 呢 ? 

好 像 对 称 密 钥 就 可 以 作为 数字 签名 中 的 凭证 。 可 以 设想 ,如 果 发 送 方 A 和 接收 方 了 使 
用 只 有 双方 才 使 用 的 密 钥 ,那么 A 向 也 发 送 了 一 份 加 密 的 报 文 ,B 就 可 以 断定 是 A 发 来 的 。 
因为 除了 A 和 B, 没 有 第 三 方 知道 这 个 密 钥 。 但 是 .由 于 A 和 B 都 知道 这 个 密 钥 , 所 以 只 能 
抵御 冒充 ,无 法 抵御 否认 、 算 改 和 伪造 。 

与 之 相 比 , 非 对 称 密 钥 就 要 好 得 多 。 采 用 非 对 称 密 钥 , 接 收 方 B 需要 知道 发 送 方 A 的 
私 钥 。 这 样 ,A 用 自己 的 私 钥 将 报 文 加 密 , 将 其 传送 到 B 后 ,B 用 A 的 公 钥 将 密 文 解密 。 这 
个 过 程 中 ,人 A 不 可 能 冒充 第 三 方 ,也 无 法 否认 自己 的 发 送 ;B 也 无 法 算 改 和 伪造 。 

但 是 , 非 对 称 密 钥 算法 的 效率 是 很 低 的 ,不 宜 用 于 长 的 报 文 的 加 密 。 为 此 可 以 采用 鉴别 
码 ,将 报 文 M 通过 一 个 单 向 哈 希 函数 生成 短 的 定 长 鉴别 码 ,将 认证 与 签名 结合 起 来 进行 。 
图 2. 11(c) 和 (d) 就 是 这 种 直接 签名 。 

直接 签名 后 的 报 文 有 可 能 被 接收 方 滥用 。 例 如 ,人 A 发送 给 BB 一 张 电子 支票 ,有 可 能 被 B 
多 次 复制 兑换 现金 。 如 果 A 在 报 文中 再 增加 一 种 特有 凭证 ,如 时 间 稚 (timestamp) ,就 可 以 
避免 这 种 情况 发 生 。 

另外 ,直接 签名 方法 将 一 种 算法 既 用 于 认证 又 用 于 签名 ,使 签名 的 有 效 性 完全 依赖 于 密 
钥 体制 的 安全 性 ,也 会 形成 一 些 漏 洞 。 例 如 ,发 送 方 会 声称 自己 的 密 钥 被 窍 或 被 盗用 ,来 否 
认 已 经 发 送 报 文 。 为 避免 这 样 的 威胁 ,可 以 要 求 每 一 个 被 签名 的 报 文 都 要 包含 一 个 时 间 截 ， 
标明 报 文 发 送 的 日 期 和 时 间 ,同时 要 求 一 旦 密 钥 丢失 或 被 盗用 ,要 立即 向 管理 机 构 报 告 并 更 
换 密 钥 。 但 是 ,车 密 钥 真正 被 盗 , 盗 窍 者 可 以 伪造 一 个 报 文 ,并 加 上 一 个 他 盗窃 密 钥 之 前 的 
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时 间 戳 。 
2.3.3 有 仲裁 的 数字 签名 


有 仲裁 的 数字 签名 的 基本 思想 是 : 发 送 方 完成 签字 后 ,不 是 直接 发 送 给 接收 方 ,而 是 将 
报 文 和 签字 先 发 送 给 双方 共同 信任 的 第 三 方 进行 验证 ,第 三 方 验证 无 误 后 ,再 附加 一 个 “已 
经 通过 验证 ”的 说 明 并 注 上 日 期 ,一 同 发 送 给 接收 方 。 由 于 第 三 方 的 介入 ,发 送 方 和 接收 方 
都 无 法 抵赖 。 

有 仲裁 的 数字 签名 方法 也 有 很 多 .下 面 仅 举 几 例 。 假 定 报 文 由 XX 向 Y 传送 ,A 为 仲裁 
者 ,M 为 传输 报 文 , 互 CM) 为 哈 希 函数 值 , | | 为 链接 ,IDx 为 X 的 身份 码 , 工 是 时 间 戳 , 则 可 以 
有 如 下 面 几 种 方案 。 


1. 方案 1 

(1) X 一 A: MI||Exr,, LIDx|1| HCMD]。X 将 签名 Ex LIDx|1| 有 HCMD] 和 报 文 M 发 给 A。 
Kx 为 X 和 人 A 的 共享 密 钥 。 

(2) A 一 Y: Er,yLIDx|| M || Er, LIDx1| HCM)J || T]。A 对 签字 验证 后 ,再 附加 上 
时 间 戳 工 并 用 A 和 立 共 享 的 密 钥 Ky 加密 后 转发 给 Y。 

(3) 立 收 到 A 发 来 的 报 文 ,解密 后 ,将 结果 保存 起 来 。 由 于 Y 不 知道 Kxs ,所 以 不 能 直 
接 检 查 X 的 签字 ,只 能 相信 A。 

当 出 现 争 议 时 ,YY 可 以 声称 自己 收 到 的 M 来 自 X, 并 将 

Ex,y LIDx || Mi|| 下 kw LIDx | | HM)] || TJ 
发 送 给 人 ,让 A 仲裁 。 

这 个 方案 是 建立 在 X 和 YY 都 对 A 高 度 信 任 的 基础 上 : 

。X 相信 A 不 会 泄露 xs ,也 不 会 伪造 自己 的 签名 。 

。 Y 相信 A 所 验证 X 的 签字 是 可 靠 的 。 

。X 和 立 都 相信 出 现 争议 时 A 能 公正 地 处 理 。 

所 以 会 得 到 如 下 结论 : 

。X 相信 Y 无 法 对 收 到 的 报 文 予 以 否认 。 

。 Y 相信 X 不 会 对 他 所 发 送 的 报 文 予 以 否认 。 

但 是 ,这 个 方案 未 提供 保密 性 ,X 传送 给 A 的 M 是 明文 形式 。 此 外 ,方案 本 身 没 有 对 
仲裁 者 的 限制 机 制 ,一 旦 仲裁 者 不 公正 ,如 与 发 送 方 共 谍 否认 发 送 过 的 报 文 ,或 与 接收 方 连 
手 伪造 发 送 方 的 签字 ,都 会 形成 签字 的 漏洞 。 

2. 方案 2 

C1 XA IDz|| Er LM] || Ex,, [LIDx|| HOEr,, LM1)]J。 

(2) A—>Y: ExyLIDx|| ExyLM] || Ex LIDx1l HCEx LI TI 

这 个 方案 用 X 和 YY 的 共享 密 钥 Kxy 加 密 所 传送 的 M, 从 而 提供 了 保密 性 。 但 还 没有 解 
决 对 仲裁 者 的 约束 。 
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3. 方案 3 

(1) X—A.: IDx|| Esky LIDx | | Epr, LEsx、 LM]1]]。 

(2) A 一 了 : Esk, LIDx|| EpxryL Es [LMJ] || Tj。 

在 这 个 方案 中 ,仲裁 者 只 能 用 X 的 公 钥 对 Esxx、[IDx | | Erx、[Esx、 LMJ] 解密 ,得 到 IDx 与 
以 明文 形式 传送 来 的 IDx 进 行 比较 ,确认 这 个 报 文 确实 来 自 X, 却 不 能 解密 Erkv [LEsx、 [LM]]。 
Em [Es [MD] 要 由 立 才 能 解密 。 因 为 立 可 以 使 用 PKA 解 密 Es [IDx | | Epx, [Es [MJ]I| 
如 ,进一步 用 SKy 解 密 Epx,LEsx、 LMj] || TJ], 再 用 PKx 解 密 Esx、 LMj]。 这 样 就 使 仲裁 方 
无 法 与 任何 一 方 共 谋 。 


2.3.4 数字 签名 标准 DSA 


DSA(CDigital Signature Algorithm ,数字 签名 算法 ) 是 美国 国家 标准 委员 会 (NIST) 公 
布 的 DSS(Digital Signature Standard ,数字 签名 标准 )。DSA 最 早 公 布 于 1991 年 ,在 征求 了 
公众 意见 后 在 1993 年 和 1996 年 又 发 布 了 两 次 修改 版 。 图 2. 17 描述 了 DSA 签名 的 基本 
过 程 。 


1 | 
1 I 

1 I 

i PKG SKA | 传送 Wn PKc PKA | 
| 人 下 避风 

| | 


图 2.17 DSA 签名 的 基本 过 程 


DSA 算法 的 签名 函数 以 以 下 参数 作为 输入 : 

。 用 SHA 方法 生成 的 报 文 摘要 ， 

。 一 个 随机 数 ; 

。 发 送 方 的 私有 密 钥 SK。; 

。 全 局 公 钥 PK 一 一 供 所 有 用 户 使 用 的 一 族 参 数 。 

DSA 算法 输出 两 个 数据 : s 和 7。 这 两 个 输出 就 构成 了 对 报 文 M 的 数字 签名 。 

接收 方 收 到 报 文 后 , 先 产 生出 报 文 的 摘要 ,再 将 这 个 摘要 和 收 到 的 签名 以 及 全 局 公 钥 
PKe ,发 送 方 的 公开 密 钥 PKs 一 起 送 到 DSA 的 验证 函数 中 ,生成 一 个 新 的 x'。 若 下 与 + 相 
等 ,就 说 明 签 字 有 效 。 

DSA 算法 的 安全 性 不 再 依赖 于 加 密 密 钥 的 安全 性 。 同 时 ,其 计算 基于 求 离散 对 数 的 困 
难 性 ,使 攻击 者 从 了 恢复 ”或 从 > 恢复 SKA 都 是 在 计算 上 不 可 行 的 。 所 以 ,DSA 比 采用 
RSA 的 签名 方法 要 可 靠 得 多 。 

除 基 于 离散 对 数 的 签名 算法 外 ,人 们 还 开发 了 其 他 一 些 签名 算法 。 关 于 它们 的 细节 ,这 
里 不 再 介绍 。 
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2.3.5 认证 协议 实例 一 一 SET 

SET (Secure Electric Transaction, 安全 电子 交易 ) 协 议 是 一 种 利用 加 密 技 术 
(cryptography) ,以 确保 信用 卡 消费 者 .销售 商 及 金融 机 构 在 Internet 上 从 事 电 子 交 易 的 安 
全 性 和 隐私 性 的 协议 。 它 是 由 两 大 信用 卡 公司 VISA 和 Master 在 GTE、IBM、Microsoft、 
Netscape、SAIC、Terisa System、Verisign 等 著名 IT 公司 的 支持 下 开发 的 ,于 1996 年 2 月 1 
日 正式 发 布 。 


1. 电子 支付 中 的 安全 需求 


支付 是 交易 的 重要 环节 。 由 于 电子 支付 的 虚拟 性 , 它 的 安全 性 备 受 人 们 关注 ,也 是 电子 
商务 安全 最 重要 和 最 困难 的 环节 。 归 纳 起 来 ,电子 支付 主要 有 如 下 一 些 安全 需求 : 

。 确定 交易 过 程 中 交易 伙伴 的 真实 性 。 

。 保证 电子 单据 的 隐秘 性 ,防范 被 无 关 者 窃取 。 

。 保证 业务 单据 不 丢失 ,即使 丢失 也 可 察觉 。 

。 验证 电子 单据 内 容 的 完整 性 。 

。 验证 电子 单据 内 容 的 真实 性 。 

。 具有 防 抵赖 性 和 可 仲裁 性 。 

。 保证 存储 的 交易 信息 的 安全 性 。 


2. SET 的 目标 


SET 的 主要 目标 如 下 : 

(1) 保证 数据 在 Internet 上 安全 传输 ,不 被 窃取 。 

(2) 保证 数据 的 完整 性 , 即 保证 数据 在 传输 过 程 中 不 被 算 改 。 

(3) 订单 信息 与 账号 信息 相隔 离 ,在 将 包括 消费 者 账号 信息 的 订单 送 给 商家 时 ,商家 应 
只 看 到 订货 信息 ,而 看 不 到 消费 者 账号 信息 。 

(4) 参与 各 方 可 以 互相 认证 ,不 仅 消费 者 与 商家 可 以 互相 认证 (一 般 由 第 三 方 提供 信用 
担保 ) ,消费 者 、 商 家 和 银行 之 间 也 能 够 相互 认证 。 

(5) 采用 统一 的 协议 和 数据 格式 ,使 不 同 厂家 开发 的 软件 具有 兼容 性 和 互 操作 性 ,并 可 
以 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 


3. SET 的 参与 角色 


一 个 SET 交易 过 程 可 能 会 涉及 如 下 6 种 角色 。 

(1) 持 卡 者 Ccardholder) , 即 消 费 者 ,必须 具备 如 下 条 件 : 

。 持 有 发 卡 机 构 支 付 卡 账号 。 

。 持 有 认证 机 构 颁 发 的 身份 证 书 。 

。 能 够 上 网 ,可 以 使 用 支付 卡 结算 。 

(2) 商家 Cmerchant) , 即 经 营 者 ,是 商品 或 服务 的 提供 者 ,必须 具备 如 下 条 件 : 


。 拥有 网 上 经 营 许可 权 。 
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。 持 有 银行 委托 授权 机 构 ( 认 证 中 心 .CA) 颁 发 的 数字 证 书 。 

。 具有 的 电子 商务 平台 能 处 理 消 费 者 申请 ,与 支付 网 关 通 信 ,存储 自身 公 钥 签名 ,存储 
自己 的 公 钥 交换 私 钥 ,存储 交易 参与 方 的 公 钥 交换 私 钥 ,申请 和 接受 认证 ,与 后 台数 
据 库 通信 等 。 

(3) 银行 Cacquirer) : 给 在 线 交 易 参 与 者 建立 账号 ,并 处 理 支 付 卡 的 认证 和 支付 业务 。 

(4) 发 卡 机 构 (Cissuer) : 为 每 一 个 建立 了 账户 的 客户 颁发 支付 卡 , 也 可 以 由 指派 的 第 三 

方 承担 。 
(5) 支付 网 关 (payment gateway): 将 Internet 上 的 传输 数据 转换 为 金融 机 构 内 部 数 
据 , 并 实现 商家 和 持 卡 人 的 身份 验证 。 
支付 网 关 必须 具有 如 下 条 件 : 
。 银行 授权 。 
。 CA 颁发 的 数字 证 书 。 
(6) SET 认证 中 心 : 为 了 使 交易 参加 方 有 一 个 可 信 的 第 三 方 ,建立 了 一 个 认证 中 心 
(CA) 来 为 消费 者 、 商 家 和 银行 颁发 数字 证 书 ,分 配 密 钥 。 

SET 认证 中 心 采用 层次 结构 。 其 最 高 层 CA( 即 Root CA) 的 安全 维系 着 整个 SET 协 
议 的 安全 。 为 了 防止 Root CA 遭 破解 ,SET 将 其 密 钥 长 度 定 为 2048b, 比 一 般 用 户 的 密 角 
长 度 1024b 长 一 倍 。 


4. SET 的 安全 保障 作用 


(1) 基于 持 卡 人 的 安全 保障 包括 以 下 几 方 面 : 
。 对 账号 数据 保密 。 

。 对 交易 数据 保密 。 

。 持 卡 人 对 商家 的 认证 。 

(2) 基于 商家 的 安全 保障 包括 以 下 几 方 面 : 
。 对 交易 数据 完整 性 的 认证 。 

。 对 持 卡 人 账户 数据 的 认证 。 

。 对 持 卡 人 的 认证 。 

。 对 银行 端的 认证 。 

。 对 交易 数据 保密 。 

。 提供 交易 数据 的 佐证 。 

(3) 基于 银行 (支付 网 关 ) 的 安全 保障 包括 以 下 几 个 方面 : 
。 对 消费 者 账号 数据 的 认证 。 

。 对 交易 数据 的 间接 认证 。 

。 对 交易 数据 完整 性 的 认证 。 

。 提供 交易 数据 的 佐证 。 


5. 电子 商务 中 的 B to C 交易 过 程 


交易 指 买 卖 双 方 之 间 进 行商 品 交易 的 行为 。 广 义 的 交易 是 一 个 复杂 的 过 程 。 在 电子 商 
。 140 。 


务 中 ,由 于 参与 方 不 同等 原因 ,会 形成 不 同 的 交易 过 程 ,如 B to B(Business to Business, 企 
业 间 电子 商务 ,也 缩写 为 B2B) 的 交易 过 程 、B to C(Business to Consumer, 企 业 对 消费 者 的 
电子 商务 ,也 缩写 为 B2C) 的 交易 过 程 等 。 下 面 主 要 介绍 B to C 的 交易 过 程 。 

图 2.18 为 B to C 的 基本 交易 过 程 。 它 可 以 被 分 为 如 下 4 种 业务 7 个 步骤 。 


@ 订 货 | 
加 付款 通知 新 公 
后 区 @@ 交 货 由 
~ Se 
© ® Di 本 和 © 
付 支 账 回 
收 付 月 执 
握 本 本 TEST 3 
他 @ 转 账 信息 (卡号 ) | 
发 卡 支付 
机 构 | i 网 关 


图 2.18 BtoC 的 基本 交易 过 程 


《1 末 货 。 

步骤 四 : 消费 者 上 网 ,查看 企业 和 商家 网 页 ,选择 商品 :消费 者 通过 对 话 框 填写 订货 单 
〈 姓 名、 地址、 品种 .规格 .数量 和 价格 ) 并 提交 给 商家 。 

(2) 支付 。 

步骤 四: 商家 核对 消费 者 订货 单 后 ,向 用 户 发 出 付款 通知 ,同时 向 银行 发 出 转账 请 求 。 

步骤 @@: 消费 者 选择 支付 方式 ,如 向 发 卡 机 构 提交 支付 卡 。 

(3) 转账 。 

步骤 @: 发 卡 机 构 验 证 消费 者 的 支付 卡 后 ,将 卡号 加 密 传 向 银行 (支付 网 关 )。 银 行 审 
查 消 费 者 支付 卡 ( 有 效 .款额 等 ) 合 格 后 ,进行 转账 。 

步骤 回 : 转账 成 功 ,向 商家 和 发 卡 机 构 发 出 转账 成 功 回执 。 

步骤 @: 发 卡 机 构 向 消费 者 发 出 支付 收据 。 


(4) 付 货 。 
步骤 四 : 商家 向 消费 者 付 货 。 
6. SET 关键 技术 之 一 一 一 数字 信封 


数字 信封 是 为 了 解决 密 钥 传送 的 安全 而 产生 的 技术 。 图 2. 19 是 用 数字 信封 传递 对 称 
密 钥 的 过 程 。 这 个 对 称 密 钥 由 发 送 方 随 机 产生 。 
接收 方 公 钥 接收 方 私 钥 


对 称 密 钥 K。 对 称 密 钥 K、 


信道 s 


图 2.19 用 数字 信封 传递 对 称 密 钥 的 过 程 


实际 上 ,这 个 信封 的 制作 非常 简单 ,就 是 用 接收 方 的 公 钥 对 要 传送 的 信息 (这 里 是 对 称 
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密 钥 ) 进 行 加 密 。 打 开 信 封 的 方法 是 用 接收 方 的 私 钥 进行 解密 。 
7. SET 关键 技术 之 二 一 一 双重 签名 


SET 有 一 个 基本 性 能 : 不 需要 让 与 有 关 角 色 无 关 的 其 他 角色 知道 的 机 密 , 就 不 让 它 知 
道 , 例 如 : 
。 只 与 持 卡 人 和 商家 之 间 的 交易 有 关 的 机 密 数 据 ( 如 订单 信息 OD ,不 必要 也 不 可 以 
让 银行 知道 。 
。 持 卡 人 的 账户 数据 也 是 持 卡 人 的 个 人 秘密 数据 (如 付款 指示 PD ,不 必要 也 不 可 以 让 
商家 知道 。 
但 是 ,在 这 种 情况 下 ,还 要 让 商家 和 银行 都 可 以 确定 这 些 数据 确实 是 由 持 卡 人 产生 和 送 
出 的 ,可 以 间接 或 直接 地 对 这 些 数据 进行 认证 。 这 一 性 能 在 SET 中 使 用 双重 签名 (dual 
signature) 技 巧 实 现 。 双 重 签名 的 基本 过 程 如 图 2. 20 所 示 ,具体 实 现时 略 有 所 不 同 。 下 面 
介绍 两 种 方案 。 


订单 信息 OI CA > 付款 指示 PI 
摘要 算法 OP 摘要 算法 


订单 摘要 H(OD 摘要 算法 付款 指示 摘要 HPD 


OP 摘要 AH(OP) 


[一 一 人 加 密 算法 


双重 签名 Sig(H(OP)) 


下 这 哄 辽 水 


到 2.20 持 卡 人 进行 的 双重 签名 过 程 


kiy 六 案 1s 

设 Sig(Cz) 是 一 个 基于 RSA 的 多 项 式 时 间 函 数 , 可 以 产生 对 x 的 有 效 签名 。 

d@ 持 卡 人 (C) 的 操作 如 下 : 

。 产生 订货 信息 OI 和 账号 信息 PI, 生 成 两 个 摘要 Hc(OID) 和 He (PI ) 。 

。 双重 签名 : 将 Hc(OD 和 He (PD 连接 .形成 OP(OI 十 PD ,再 生成 一 个 摘要 He (He 
(OD | | Hc (PD), 并 对 其 用 私 钥 进 行 签名 得 到 CSig( Hc (Hce (OD ||He(PD))。 

。 发 给 商家 : OI、Hc (PD 和 CSig(He (He (OD ||Hece(PD))。 

。 发 给 支付 网 关 : PI、Hc (OD 和 CSig(Hce( He(OD ||He(PD))。 

@ 商家 (MD) 收 到 信息 后 的 操作 如 下 : 

。 利用 收 到 的 OI, 生 成 摘要 Hu (OD。 

。 将 Hum (OD 与 Hc (PD 合 起 来 生成 摘要 Hu (Hy (OD || He PI ))。 

。 用 Hm (Hmw(O1) ,He( PI )) 对 CSig(Hc( He (OT || He (CPD)) 进 行 验证 ,以 确认 信 
息 发 送 者 的 身份 和 信息 是 否 被 修改 过 。 
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@) 支付 网 关 (P) 收 到 信息 后 的 操作 如 下 : 

”利用 收 到 的 PI, 生 成 摘要 Hse (PD 。 

。 将 Hc (OD 与 Hs (PD 合 起 来 生成 摘要 He (He (OD | | Hse (PD)。 

。 用 HseCHe (COD, Hse (PD) 对 CSig(He (He(OD ||Hoe (PD)) 进 行 验证 ,以 确认 信息 
发 送 者 的 身份 和 信息 是 否 被 修改 过 。 

(2) 方案 2: 


Q@ 持 卡 人 (C) 的 操作 如 下 : 
。 生成 OI.PI.H(OD 、H(PD .CSig(H(OD) .CSig( HC(H(OD || ECPID ))。 


。 将 CSig(H(OD)、CSig(H(H(OD ||H(PD))、H(PD 和 01 传送 给 商家 。 
。 将 PI 和 五 (OD 传 给 支付 网 关 ( 银 行 )。 
@ 商家 (MD) 操 作 如 下 : 

。 用 C 的 公 钥 验证 CSig(H(H(OD||H(PD))、CSig(H(OD) 和 玉 (PD ,确定 是 否 持 

卡 者 的 签名 。 

。 用 自己 的 私 钥 生 成 对 交易 数据 的 签名 MSig(HH(OD ) 。 

。 将 MSig(H(OD) 和 CSig(H(H(OD|| 有 H(PD)) 一 同 送 支付 网 关 ( 银 行 )。 

@ 支付 网 关 (P) 操 作 : 

。 验证 MSig( 右 (OD) ,确定 及 (OD 为 交易 数据 的 哈 希 值 。 

。 用 已 知 的 PI 和 互 (ODT ,验证 CSig(H(H(COD||H(PD)) 的 正确 性 ,确认 交易 数据 和 


账户 数据 都 是 正确 的 。 
。 根据 政 策 , 确 认 此 笔 交 易 是 否 成 功 。 
图 2. 21 为 SET 交易 过 程 。 它 用 双重 签名 解决 了 三 方 参加 电子 贸易 中 的 安全 通信 问题 。 


持 卡 人 商家 支付 网 关 
交易 请 求 
Ex TID] 产生 交易 识别 数据 TID 
验证 TID Exca [ON], Exca [OUPD, 
产生 双重 签名 CSig(H(OD)), 
CSig(H(AH(ODIIA(PD)) 


验证 CSig(H(OD) MSig(H(OD), 
重新 对 OI 产生 哈 希 值 和 签名 CSig(HCAODIIA(PD)) 


验证 MSig(H(OD) 


确认 OI 和 PI 正确 
Expn [Authdatal 确定 交易 是 否 成 功 
确定 交易 成 功 
Ekmg [TID] 产生 交易 完成 信息 TID 


图 2.21 SET 交易 过 程 
注 : Authata: 授权 数据 。 
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实验 7 加 密 软件 PGP 的 使 用 
1. 实验 说 明 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 的 邮件 加 密 软 件 , 也 是 一 个 与 Linux 
齐名 的 优秀 自由 软件 。 其 最 早 的 版 本 是 由 美国 的 Philip R. Zimmermann 开发 的 ,并 于 
1991 年 在 Internet 上 免费 发 布 。 为 了 打破 美国 政府 对 于 软件 出 口 的 限制 ,PGP 的 国际 版 在 
美国 境外 开发 ,并 带 一 个 i 以 区 别 。 任 何人 都 可 以 从 挪威 的 网 站 www. pgpi. com 上 下 载 到 
最 新 的 版 本 ,大 小 约 为 7. 8MB。 

PGP 采用 了 审慎 的 密 钥 管理 ,是 一 种 RSA 和 传统 加 密 的 杂 合 算法 ,用 于 数字 签名 的 邮 
件 文摘 算法 以 及 加 密 前 压缩 等 ,还 有 一 个 良好 的 人 机 工程 设计 。 它 可 以 让 任何 人 安全 地 和 
他 从 未 见 过 的 人 们 通信 ,并 且 事 先 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 同 时 它 的 功能 强 
大 ,有 很 快 的 速度 , 源 代码 还 是 免费 的 。 

PGP 对 每 次 会 话 的 报 文 进行 加 密 后 传输 , 它 采 用 的 加 密 算法 包括 AES-256、AES-192、 
AES-128 .CAST、3DES.IDEA 和 Twofish 等 。 例 如 ,使 用 AES 密 钥 最 长 可 达 256b, 这 已 经 
足够 安全 了 。 

当 发 送 者 用 PGP 加 密 一 段 明 文 时 ,PGP 首先 压缩 明文 ,然后 建立 一 个 一 次 性 会 话 密 
钥 ,采用 传统 的 对 称 加 密 算 法 (例如 AES 等 ) 加 密 刚 才 压 缩 后 的 明文 ,产生 密 文 。 然 后 用 接 
收 者 的 公开 密 钥 加 密 刚 才 的 一 次 性 会 话 密 钥 ,随同 密 文 一 同 传输 给 接收 方 。 接 收 方 首 先 用 
私有 密 钥 解密 ,获得 一 次 性 会 话 密 钥 ,最 后 用 这 个 密 钥 解 密 密 文 。 

目前 ,PGP 使 用 的 哈 希 函数 包括 SHA-2(256b)、SHA-2(384b) SHA-2(512b)、 SHA-1 
(160b) 、RIPEMD(128b) .MD5(128b) 等 。 

PGP 在 签名 之 后 、 加 密 之 前 对 报 文 进行 压缩 。 它 使 用 了 由 Jean-loup Gailly, Mark 
Adler,Richard Wales 等 编写 的 ZIP 压缩 算法 。 

在 PGP 里 面 最 有 特色 的 或 许 就 是 它 的 密 钥 管理 。PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 
钥 公开 密 钥 ,私有 密 铀 和 基于 口令 短语 的 常规 密 钥 。 

用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 密 钥 / 私 有 密 钥 对 。 其 中 公开 密 钥 可 以 公开 ， 
而 私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 铀 和 私有 密 钥 用 两 个 文件 存储 ,一 个 用 来 存储 该 
用 户 的 公开 /私有 密 钥 , 称 为 私有 密 钥 环 : 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 , 称 为 公开 密 
钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 口令 短语 ,然后 使 用 哈 希 算法 ( 例 
如 SHA-1) 生 成 该 口令 的 哈 希 编码 ,将 其 作为 密 钥 ,采用 CAST-128 等 常规 加 密 算 法 对 私有 
密 钥 加 密 ,存储 在 私有 密 钥 环 中 。 当 用 户 访问 私 有 密 钥 时 ,必须 提供 相应 的 口令 短语 ,然后 
PGP 根据 口令 短语 获得 哈 希 编码 ,将 其 作为 密 钥 ,对 加 密 的 私有 密 钥 解密 。 通 过 这 种 方式 ， 
就 保证 了 系统 的 安全 性 依赖 于 口令 的 安全 性 。 


2. 实验 目的 


(1) 掌握 PGP 的 下 载 、 安 装 和 使 用 方法 。 
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(2) 进一步 加 深 对 于 数据 加 密 和 数据 认证 理论 的 理解 。 
3. 实验 内 容 


(1) 下 载 并 安装 PGP。 

(2) 使 用 PGP 生成 并 管理 密 钥 。 

(3) 使 用 PGP 对 文件 进行 加 密 / 解 密 。 
(4) 使 用 PGP 对 文件 进行 签名 和 认证 。 
(5) 使 用 PGP 销毁 加 密 文件 。 


4. 实验 准备 


(1) 准备 一 个 实验 用 的 数据 文件 。 

(2) 事先 浏览 可 以 下 载 PGP 软件 的 网 站 ,了 解 可 以 下 载 的 最 新 PGP 版 本 及 其 特点 。 
(3) 写 出 实验 的 详细 步骤 。 

(4) 确定 下 载 软件 需要 的 运行 环境 。 


5. 推荐 的 分 析 讨 论 内 容 
(1) 你 认为 PGP 安全 的 最 大 威胁 在 什么 地 方 ? 
(2) 加密 文件 的 销毁 要 注意 什么 ? 
(3) 其 他 发 现 或 想到 的 问题 。 

习 题 
一 、 选 择 题 


1. 假设 使 用 一 种 加 密 算法 , 它 的 加 密 方 法 很 简单 : 将 每 一 个 字母 加 5: 即 a 加 密 成 {。 这 种 算法 的 密 
钥 就 是 5, 那 么 它 属 于 


A. 对 称 加 密 技术 B. 分 组 密码 技术 
C. 公 钥 加 密 技 术 D. 单 向 函数 密码 技术 
2.“ 公 开 密 钥 密 码 体制 "的 含义 是 
A. 将 所 有 密 钥 公开 B. 将 私有 密 钥 公 开 ,公开 密 钥 保 密 
C. 将 公开 密 钥 公 开 ,私有 密 钥 保 密 D. 两 个 密 钥 相同 
3. A 方 有 一 对 密 钥 (Ka, Kas ),B 方 有 一 对 密 钥 (Ks,、 ,Ka ),A 方 向 B 方 发 送 数字 签名 M, 对 信息 
M 加 密 为 : M 一 Ke (Ka (MD))。B 方 收 到 密 文 的 解密 方案 是 
A. Kes (Kag CM')) B. Kas (Kas CM')) 
了 KAA (Keg CM')) D. Ks (Kas CM )) 
4. 使 用 数字 签名 技术 ,在 发 送 端 是 采用 对 要 发 送 的 信息 进行 数字 签名 。 
A. 发 送 者 的 公 铀 B. 发 送 者 的 私 钥 
C. 接收 者 的 公 钥 D. 接收 者 的 私 钥 
5. 使 用 数字 签名 技术 ,在 接收 端 采 用 进行 签名 验证 。 
A. 发 送 者 的 公 铀 B. 发 送 者 的 私 钥 
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C. 接收 者 的 公 钥 D. 接收 者 的 私 钥 
6. 数字 签名 要 预先 使 用 单 向 哈 希 郴 数 进行 处 理 的 原因 是 
A. 多 一 道 加 密 工 序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 , 加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 
7. 设 喻 希 函 数 孔 有 128 个 可 能 的 输出 ( 即 输 出 长 度 为 128 位 ) .如果 矿 的 & 个 随机 输入 中 至 少 有 两 个 


产生 相同 输出 的 概率 大 于 0.5, 则 上 & 约 等 于 5 
A 2128 B. 264 GC. 232 D. 2256 

二 、 填空 题 

1. 密码 系统 包括 以 下 4 个 方面 : 和 

2 是 加 密 算 法 巨 的 逆 运 算 。 

3. 如 果 加 密 密 钥 和 解密 密 钥 相同 ,这 种 密码 体制 称 为 体制 。 

4， 算法 的 安全 是 基于 分 解 两 个 大 素数 的 积 的 困难 。 

5. 公开 密 钥 加 密 算法 的 用 途 主 要 包括 两 个 方面 : 和 & 

6. 密 钥 管理 的 主要 内 容 包 括 密 钥 的 一 一 
和 8 

7. 密 钥 生成 形式 有 两 种 : 一 种 是 由 , 另 一 种 是 由 。 

8. 密 钥 的 分 配 是 指 产生 并 使 获得 密 钥 的 过 程 。 

9. 密 钥 分 配 中 心 的 英文 缩写 是 本 

10. 消息 认证 是 验证 , 即 验 证 数据 在 传送 和 存储 过 程 中 是 否 被 算 改 、 重 放 或 延迟 等 。 

Ll 迹 签 名 的 模拟 ,是 一 种 包括 防止 源 点 或 终点 否认 的 认证 技术 。 

ey 是 实现 交易 安全 的 核心 技术 之 一 . 它 的 实现 基础 就 是 加 密 技术 ,能 够 实现 电子 文档 的 辨 
认 和 了 验证。 

13. MAC 函数 类 似 于 加 密 , 它 与 加 密 的 区 别 是 其 

14. 是 可 接受 变 长 数据 输入 ,并 生成 定 长 数据 输出 的 函数 。 

三 、 问 答题 


1. 有 明文 can you understand 。 

(1) 假定 有 一 个 密 钥 ,其 顺序 为 2,4,3,1 的 列 换 位 密码 ,其 换 位 密 文 是 什么 ? 

(2) 设 密 钥 是 i 二 1,2,3,4 的 一 个 置换 /( 让 二 1,3,4,2, 则 周期 为 4 的 换 位 密 文 是 什么 ? 

2. 比较 两 种 密 钥 体制 的 优 缺 点 。 

3. 解释 AES 解密 算法 。 

4. 编写 程序 ,实现 AES 加 密 算法 。 

5. 具有 N 个 节点 的 网 络 如 果 使 用 公开 密 钥 密码 算法 .每 个 节点 的 密 钥 有 和 多少? 网 络 中 的 密 钥 共有 


6. 在 非 对 称 密码 体制 中 ,第 三 方 如 何 断 定 通信 者 有 无 抵赖 或 伪造 行为 ? 
7. 设 通信 双方 使 用 RSA 加 密 体 制 :接收 方 的 公开 密 钥 是 (e. 思 一 (5:35) , 求 明 文 M 一 30 对 应 的 密 文 。 
8. 在 使 用 RSA 公 钥 的 通信 中 , 若 截 取 了 发 送 给 其 他 用 户 的 密 文 C 一 10, 并 且 用 户 的 公 钥 为 (e,7z) 一 
(5,35), 求 对 应 的 明文 。 
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9. 什么 是 序列 密码 和 分 组 密码 ? 


Ji 
Ds: 
12: 
13. 
14. 
15. 
16. 
18. 
L9, 
20, 
2 
22. 
23. 
24. 


25 


26. 


简 述 通信 双方 如 何 使 用 密 钥 体制 建立 通信 中 的 信任 关系 。 

有 哪些 建立 公开 密 钥 体制 的 方法 ? 

常规 加 密 密 钥 的 分 配 有 几 种 方案 ?请 对 比 它们 的 优 缺点 。 

如 何 利 用 公开 密 钥 加 密 进 行 单 钥 加 密 密 钥 的 分 配 ? 

请 自己 设计 一 个 密 钥 生成 算法 .并 验证 其 密 钥 空间 的 安全 性 。 
在 密 钥 的 生存 期 间 内 .如 何 对 密 钥 进行 有 效 的 管理 ? 

销毁 被 撤销 的 密 钥 时 应 注意 些 什 么 ? 

KDC 在 密 钥 分 配 过 程 中 充当 何 种 角色 ? 

简 述 信息 隐藏 的 基本 徐 和 信和 检测 过 程 。 

简 述 数字 水 印 的 定义 和 内 容 。 

简 述 数字 隐藏 技术 中 隐 含 的 信任 关系 。 

收集 国内 外 有 关 加 密 或 信息 隐藏 技术 的 最 新 动态 。 

分 析 消 息 认 证 码 可 能 遭受 的 攻击 。 

数字 签名 有 什么 作用 ? 

描述 报 文 鉴别 码 和 哈 希 码 的 区 别 。 

简 述 数字 签名 的 用 途 和 基本 流程 。 

要 将 明文 M 由 Al: 并 附 有 Al、A:、…、A;、…、A, 的 依次 签名 发 往 B。 设 PKA, 和 SKA, 分 别 为 A; 的 


公开 密 钥 和 私有 密 钥 ,在 签名 时 要 求 每 一 位 签名 者 只 验证 其 前 一 位 签名 者 的 签名 ;如 果 验 证 通过 , 则 在 此 


基础 上 加 上 自己 的 签名 ,否则 终止 签名 ;最 后 一 位 签名 者 在 签名 完成 后 将 最 终 信 


息 和 签名 一 起 发 送出 去 。 


每 一 位 签名 者 都 可 以 推算 出 前 一 位 签名 者 和 后 一 位 签名 者 并 且 知 道 他 们 的 公开 密 钥 。 试 设计 该 多 人 签名 


算法 。 


27. 
28. 
29, 
30. 
31。 
32. 


查阅 相关 资料 ,比较 各 种 数字 签名 算法 的 优 缺 点 。 

可 信 第 三 方 有 些 什 么 作用 ? 

试 述 数字 证 书 的 原理 。 

查阅 资料 , 简 述 有 关 PKI 的 标准 及 其 相关 产品 。 

PKI 可 以 提供 哪些 安全 服务 ? PKI 体系 中 包含 了 哪些 与 信任 有 关 的 概念 ? 
简 述 一 个 成 功 的 SET 交易 的 标准 流程 。 
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第 3 章 ”身份 认证 与 访问 控制 


信息 系统 中 的 一 切 活 动 都 是 由 访问 行为 所 引起 的 。 为 了 系统 的 安全 ,需要 对 访问 进行 
管制 约束 。 访 问 涉及 两 个 方面 : 主体 (通常 指 用 户 ) 和 客体 (也 称 资源 , 即 数据 )。 身 份 认证 
(identity authentication) 是 指 对 于 主体 合法 性 的 认证 ;访问 控制 (access control) 是 指 对 于 主 
体 的 访问 行为 进行 授权 (Cauthorization) 的 过 程 。 

如 果 认 为 一 个 信息 系统 有 一 个 入 口 , 则 身份 认证 就 是 在 信息 系统 的 入 口 进行 的 身份 检 
查 ; 而 访问 控制 则 规定 访问 者 进入 系统 以 后 可 以 对 哪些 资源 分 别 进 行 什么 样 的 访问 操作 。 
二 者 之 间 的 关系 如 图 3.1 所 示 。 


访问 请 求 | 身 | 名; 访 = 
,we bor 全 类 用 户 、 加 oo 权限 
证 制 


用 户 
图 3.1 用 户 对 资源 访问 的 过 程 


3.1 基于 凭证 比 对 的 身份 认证 


身份 认证 是 信息 系统 安全 的 第 一 道 屏障 ,用 于 检验 主体 身份 的 合法 性 ,用 它 控制 哪些 用 
户 能 够 登录 到 系统 (服务 器 ) 并 获取 系统 资源 .控制 准许 用 户 进 入 的 时 间 和 准许 他 们 在 哪 台 
计算 机 上 访问 。 

最 基本 的 身份 认证 是 需要 用 户 提供 能 代表 身份 的 凭证 与 系统 中 存储 的 凭证 进行 比 对 。 
用 于 比 对 的 身份 凭证 可 分 为 下 列 3 种 : 

。 用 户 所 知道 的 秘密 ,如 口令 (password)、 个 人 识别 号 (PIN) 和 密 钥 等 。 

。 用 户 所 拥有 的 信物 ,如 信用 卡 IC 卡 、USB Key .印章 和 证 件 等 。 

。 用 户 自身 的 特征 ,如 笔迹 、 步 态 、 声 音 、 指 纹 、 虹 膜 纹 和 层 纹 等 。 

身份 认证 可 以 是 一 方 对 另 一 方 的 认证 ,也 可 以 是 双方 的 互相 认证 。 前 者 称 为 单 向 认证 ， 
后 者 称 为 双向 认证 。 


3.1.1 生物 特征 身份 认证 


生物 特征 身份 凭证 一 般 采 用 用 户 固 有 的 生物 特征 和 行为 特征 ,要 求 这 些 具有 唯一 性 和 
永和 久 性 。 下面 介绍 几 种 主要 的 生物 身份 凭证 及 其 验证 方法 。 


1. 指纹 


指纹 是 历史 最 为 悠久 的 生物 身份 凭证 。 据 著名 指纹 专家 刘 持 平 先生 论证 , 早 在 7000 年 
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前 我 们 的 祖先 就 开始 进行 指纹 识别 的 研究 。 到 了 春秋 战国 时 代 , 手 印 检验 不 仅 广泛 应 用 于 
政府 和 民间 的 书信 和 邮件 往来 之 中 ,并 已 经 开始 用 于 侦 讯 破案 之 中 。 

指纹 是 一 种 十 分 精细 的 拓扑 图 形 。 如 图 3.2 所 示 ,一 枚 指纹 不 足 方 寸 ,上 面 密布 着 100 一 
120 个 特征 细节 ,这 么 多 的 特征 参数 组 合 的 数量 达 
到 640 亿 种 (英国 学 者 高 尔 顿 提出 的 数字 )。 并 且 
由 于 它 从 胎儿 4 个 月 时 生成 后 保持 终生 不 变 , 因 
此 ,用 它 作 为 人 的 唯一 标识 ,是 非常 可 靠 的 。 

指纹 识别 主要 涉及 4 个 过 程 : 读 取 指 纹 图 像 、 
提取 指纹 特征 、 保 存 数据 和 比 对 。 目 前 已 经 开发 出 
计算 机 指纹 识别 系统 ,可 以 比较 精确 地 进行 指纹 的 
自动 识别 。 

2. 虹膜 

虹膜 是 位 于 眼睛 黑色 瞳孔 与 白色 巩膜 之 间 的 环形 部 分 ( 见 图 3. 3(a))。 它 在 总 体 上 呈 
由 里 向 外 的 放射 状 结构 ( 见 图 3. 3(b)), 并 包含 许多 相互 交错 的 类 似 斑 点 、 细 丝 、 冠 状 、 条 纹 、 


隐 窜 等 形状 的 细微 特征 。 这 些 细微 特征 信息 也 被 称 为 虹膜 的 纹理 信息 ,主要 由 胚胎 发 育 环 
境 的 差异 决定 ,因此 对 每 个 人 都 具有 唯一 性 、 稳 定性 和 非 侵 犯 性 。 


NN 
人 


图 3.2 指纹 的 细节 特征 


(a) 虹膜 位 置 


图 3.3 眼睛 与 虹膜 


虹膜 识别 系统 主要 由 虹膜 图 像 采集 装置 .活体 虹膜 检测 算法 、 特 征 提取 和 匹配 几 个 模块 
组 成 。 


3. 面 像 


采用 面 像 作 为 身份 凭证 的 识别 系统 包括 两 个 技术 环节 : 面 像 检测 和 面 像 识别 。 

1) 面 像 检 测 

面 像 检 测 主 要 实现 面 像 的 检测 和 定位 , 即 从 输入 图 像 中 找到 面 像 及 面 像 的 位 置 , 并 将 人 
脸 从 背景 中 分 割 出 来 。 现 有 的 面 像 检 测 方法 可 以 分 为 3 类 : 

(1) 基于 规则 的 面 像 检测 : 总 结 了 特定 条 件 下 可 用 于 检测 面 像 的 知识 (如 脸型 .肤色 
等 ) ,并 把 这 些 知识 归纳 成 指导 面 像 检测 的 规则 。 

(2) 基于 模板 匹配 的 面 像 检测 : 首先 构造 具有 代表 性 的 面 像 模 板 , 通 过 相关 匹配 或 其 
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他 相似 性 度量 检测 面 像 。 

(3) 基于 统计 学 习 的 面 像 检测 : 主要 利用 面部 特征 点 结构 灰 度 分 布 的 共同 性 来 检测 
面 像 。 

2) 面 像 识别 

面 像 识 别 由 两 个 过 程 组 成 。 

(1) 面 像样 本 训练 : 提取 面 像 特征 ,形成 面 像 特征 库 。 

(2) 识别 : 用 训练 好 的 分 类 器 将 待 识别 面 像 的 特征 同 特 征 库 中 的 特征 进行 匹配 ,输出 
识别 结果 。 


4. 声 纹 


声 纹 鉴 定 是 以 人 耳 听 辩 的 声 纹 为 基础 ,不 仅 关注 发 音 人 的 语音 频谱 等 因素 ,还 充分 挖掘 
说 话 人 语音 流 中 的 各 种 特色 性 事件 和 表征 性 特点 ,如 由 方言 背景 确定 的 地 域 性 ,发 音 部 位 变 
化 ` 内 容 以 及 发 音速 度 和 强度 确定 的 发 音 人 的 年 龄 .性 格 和 心态 等 。 

在 计算 机 处 理 时 ,常常 将 人 类 声 纹 特征 分 为 3 个 层次 : 

(1) 声 道 声学 层次 : 在 分 析 短 时 信和 号 的 基础 上 ,抽取 对 通道 .时 间 等 因素 的 不 敏感 

(2) 韵律 特征 层次 : 抽取 独立 于 声学 、 声 道 等 因素 的 超 音 段 特征 ,如 方言 .韵律 和 语 

(3) 语言 结构 层次 : 通过 对 语音 信号 的 识别 ,获取 更 加 全 面 和 结构 化 的 语义 信息 。 

声 纹 识别 系统 主要 包括 两 部 分 : 

(1) 特征 提取 : 选取 唯一 表现 说 话 人 身份 的 有 效 且 可 靠 的 特征 。 

(2) 模式 匹配 : 对 训练 和 识别 时 的 特征 模式 进行 相似 性 匹配 。 

但 是 ,目前 还 没有 证 实 它 的 唯一 性 。 

5. 其 他 

其 他 可 用 于 身份 识别 的 生物 特征 还 有 步 态 、 笔 迹 、 签 名、 颅骨 外 形 、 视 网 膜 、 层 纹 、.DNA、 
按键 特征 、 耳 人 杂 轮 廓 、 体 温 图 谱 、 掌 形 和 足迹 等 。 

3.1.2 静态 口令 

口令 通常 是 作为 用 户 账号 补充 部 分 向 系统 提交 的 身份 凭证 。 一 般 说 来 ,用 户 账号 是 公 
开 的 。 当 用 户 向 系统 提交 了 账号 以 后 ,还 需要 提交 保密 形式 的 凭证 一 一 口令 , 供 系统 鉴别 用 
户 的 真实 性 ,以 防止 非法 使 用 用 户 账 号 登录 。 所 以 ,用 户 只 有 向 系统 输入 口令 .通过 了 系统 
的 验证 后 ,才能 获得 相应 的 权限 。 

口令 是 使 用 度 最 高 的 一 类 身份 认证 , 它 简 单 . 易 用 .效率 很 高 ,但 它 也 是 极为 脆弱 、 容 易 
攻击 的 认证 方式 。 

1. 口令 失 密 及 其 对 策 


口令 是 较 弱 的 安全 机 制 。 从 责任 的 角度 看 ,用 户 和 系统 管理 员 都 对 口令 的 失 密 负 有 责 
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任 ,或 者 说 用 户 和 系统 管理 员 两 方 都 有 可 能 造成 口令 失 密 。 从 失 密 的 途径 看 ,有 众多 的 环节 
可 以 造成 口令 失 密 ,或 者 说 ,攻击 者 可 以 从 下 面 一 些 途 径 进 行 口令 攻击 。 

(1) 猜测 和 发 现 口 令 。 

。 常用 数据 猜测 ,如 家 庭 成 员 或 朋友 的 名 字 、 生 日 、 球 队 名 称 、 城 市 名 、 身 份 证 号 码 、 电 

话 号 码 和 邮政 编码 等 。 

。 字典 攻击 : 按照 字典 序 进行 穷 举 攻击 。 

。 其 他 ,如 望远镜 窥视 等 。 

(2) 电子 监控 。 

在 网 络 或 电子 系统 中 ,被 电子 嗅 探 器 和 监控 器 窃取 。 

(3) 访问 口令 文件 。 

。 在 口令 文件 没有 强 有 力 保 护 的 情形 下 ,下 载 口令 文件 。 

。 在 口令 文件 有 保护 的 情况 下 ,进行 蛮 力 攻击 。 

(4) 通过 社交 工程 。 

如 通过 亲情 .收买 或 引诱 ,获取 别人 的 口令 。 

(5) 垃圾 搜索 。 

收集 被 攻击 者 的 遗弃 物 ,从 中 搜索 被 玻 忽 丢掉 的 写 有 口令 的 纸 片 或 保存 有 口令 的 盘 片 。 

(6) 用 蠕虫 记录 用 户 输入 的 口令 。 

蠕虫 可 以 根据 用 户 按键 的 位 置 记录 用 户 输 入 的 口令 。 


2. 口令 的 安全 保护 


口令 一 且 失 密 或 被 破解 ,该 用 户 的 账号 就 不 再 受到 保护 ,攻击 者 就 可 以 大 摇 大 摆 地 进入 
系统 。 因 此 ,口令 的 保护 是 用 户 和 系统 管理 员 都 必须 重视 的 工作 。 下 面 从 几 个 方面 考虑 口 
令 的 安全 。 

(1) 选取 口令 应 遵循 以 下 原则 : 

。 扩大 口令 的 字符 空间 。 口 令 字 符 空 间 越 大 , 穷 举 攻 击 的 难度 就 越 大 。 一 般 , 不 要 仅 
限于 使 用 26 个 大 写字 母 , 可 以 扩大 到 小 写字 母 、 数字 等 计算 机 可 以 接受 的 字符 
空间 。 

。 选择 长 口令 。 口令 越 长 ,破解 需要 的 时 间 就 越 长 ,一 般 应 使 口令 位 数 大 于 6 位 。 

。 使 用 随机 产生 的 口令 ,避免 使 用 弱 口令 (有 规律 的 口令 ) 和 容易 被 猜测 的 口令 ,如 家 
庭 成 员 或 朋友 的 名 字 、 生 日 . 球 队 名 称 和 城市 名 等 。 

。 使 用 多 个 口令 ,在 不 同 的 地 方 不 要 使 用 相同 的 口令 。 

(2) 正确 地 使 用 口令 。 

。 缩短 口令 的 有 效 期 。 口令 要 经 常 更 换 。 最 好 使 用 动态 的 一 次 性 口令 。 

。 限制 口令 的 使 用 次 数 。 

。 限制 登录 时 间 , 如 属于 工作 关系 的 登录 ,把 登录 时 间 限 制 在 上 班 时 间 内 。 

(3) 安全 地 保存 指令 。 口令 的 存储 不 仅 是 为 了 备 忘 ,更 重要 的 是 系统 要 在 检测 用 户口 

令 时 进行 比 对 。 直 接 明文 存储 口令 ( 写 在 纸 上 或 直接 明文 存储 在 文件 或 数据 库 中 ) 最 容易 泄 
密 。 较 好 的 方法 是 将 每 一 个 用 户 的 系统 存储 账号 和 哈 希 值 存储 在 一 个 口令 文件 中 。 当 用 户 
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登录 时 ,输入 口令 后 ,系统 计算 口令 的 哈 希 码 , 并 与 口令 文件 中 的 哈 希 值 比 对 ,车 相等 , 则 允 
许 登 录 , 否 则 拒绝 登录 。 
(4) 系统 管理 员 除 对 用 户 账户 要 按照 资费 等 加 以 控制 外 ,还 要 对 口令 的 使 用 在 以 下 几 
个 方面 进行 审计 : 
。 最 小 口令 长 度 ; 
。 强制 修改 口令 的 时 间 间 隔 ; 
。 口令 的 唯一 性 ; 
。 口令 过 期 失效 后 允许 人 网 的 宽 限 次 数 ;如 果 在 规定 的 次 数 内 输入 不 了 正确 口令 , 则 
认为 是 非法 用 户 的 入 侵 , 应 给 出 报警 
信息 。 
(5) 增加 口令 认证 的 信息 量 。 例 如 在 认证 
过 程 中 ,随机 地 提问 一 些 与 该 用 户 有 关 , 并 且 只 


有 该 用 户 才能 回答 的 问题 。 

(6) 使 用 软 键盘 键入 口令。 软 键盘 是 一 种 一 一 一 一 一 一 一 
显示 在 屏幕 上 的 键盘 ,可 供用 户 用 鼠标 选择 单 击 | 辆 回回 国 回 国 回 回国 硬 友 和 
进行 输入 。 如 图 3. 4 所 示 , 软 键盘 上 的 键 的 布局 | 国 国 国 回回 加 国医 避 硬 本 加 
可 以 是 随机 的 ,这 样 就 能 有 效 地 防止 木马 通过 对 
按键 位 置 的 记录 ,窃取 用 户 密码 。 图 3.4 某 银 行 的 客户 端 登录 软 键盘 


3. 批量 登录 攻击 与 验证 码 


下 


验证 码 也 称 CAPTCHA(Completely Automated Public Turing test to tell Computers 
and Humans Apart, 全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 ) ,是 一 种 区 分 用 户 是 计算 机 还 是 
人 的 公共 全 自动 技术 ,其 目的 是 有 效 防止 某 一 个 特定 注册 用 户 用 特定 程序 暴力 破解 方式 进 
行 不 断 的 登录 尝试 。 其 具体 方法 是 强迫 用 户 在 登录 时 必须 要 人 工 进 行 一 些 工作 。 基 本 方法 
是 要 用 户 从 模糊 的 图 形 之 中 辨认 出 隐藏 在 其 中 的 一 些 信息 。 用 户 只 有 将 正确 的 答案 与 账户 
和 和 口令 一 起 发 送 ,才能 注册 。 这 就 使 得 攻击 者 使 用 程序 自动 注册 成 为 不 可 能 。 

在 形式 上 ,验证 码 可 以 是 数字 、 字 母 文字、 图 片 、 广 告 以 及 问题 等 。 

验证 码 主 要 用 来 控制 注册 或 登录 的 时 间 和 节奏 不 能 太 快 。 用 户 登 录 时 ,验证 码 根 据 时 
间 周 期 随机 生成 ,用 户 在 一 定 的 时 间 周 期 内 必须 从 图 片 中 人 工 找 出 所 隐藏 的 信息 ,输入 验证 
码 ,提交 服务 器 系统 验证 ,验证 成 功 才能 登录 。 两 次 登录 之 间 有 一 个 验证 生存 期 (一 般 为 
305)。 

强制 人 为 干预 的 男 一 种 方法 是 通过 手机 传送 验证 码 。 


3.1,.3 动态 口令 
1. 动态 口令 的 概念 


动态 口令 也 称 一 次 性 口令 (One-Time Password,OTP) ,是 最 安全 的 口令 。 它 是 根据 专 
门 的 算法 生成 一 个 不 可 预测 的 随机 数字 组 合 , 每 个 密码 只 能 使 用 一 次 ,目前 被 广泛 运用 在 网 
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银 .网游 .电信 运营 商 、 电 子 商 务 、 企 业 等 应 用 领域 。 

动态 口令 有 如 下 优势 : 

。 可 以 提供 给 最 终 用 户 安全 访问 企业 核心 信息 的 手段 。 

。 可 以 降低 与 密码 相关 的 IT 管理 费用 。 

。 是 一 种 无 须 记忆 的 复杂 密码 ,降低 了 遗忘 密码 的 几率 。 

2. 动态 令 牌 的 类 型 

为 了 安全 ,动态 口令 不 是 在 网 络 上 直接 生成 ,也 不 是 由 系统 直接 从 网 络 上 发 给 用 户 ,而 
是 通过 其 他 渠道 或 生成 器 提供 给 用 户 。 这 些 用 于 生成 动态 口令 终端 通常 称 为 “ 令 牌 ”。 目 前 
主流 令 牌 有 : 短信 密码 .手机 令 牌 、 硬 件 令 牌 和 软件 令 牌 4 种 。 

1) 短信 密码 

短信 密码 以 手机 短信 形式 请 求 包含 6 位 或 更 多 随机 数 的 动态 口令 ,身份 认证 系统 以 短 
信 形 式 发 送 随 机 的 6/8 位 密码 到 客户 的 手机 上 ,客户 在 登录 或 者 交易 认证 时 候 输入 此 动态 
口令 ,从 而 确保 系统 身份 认证 的 安全 性 。 

2) 手机 令 牌 

手机 令 牌 是 一 种 手机 客户 端 软件 , 它 每 隔 30s 产生 一 个 随机 6 位 动态 密码 ,口令 生成 过 
程 不 产生 通信 及 费用 ,具有 使 用 简单 .安全 性 高 、 低 成 本 无须 携 带 额 外 设备 .容易 获取 .无物 
流 等 优势 ,手机 令 牌 是 3G 时 代 动 态 密码 身份 认证 发 展 的 趋势 。 手机 令 牌 有 J2ME iPhone、 
Android 和 Windows Mobile 6 版 本 .可 以 广泛 应 用 在 网 络 游戏 .互联 网 等 用 户 基数 大 的 领 
域 ,手机 令 牌 的 使 用 将 大 大 减 小 动态 密码 服务 管理 及 运营 成 本 ,方便 用 户 。 

3) 硬件 令 牌 

硬件 令 牌 往往 是 一 个 钥匙 扣 大 小 的 轻巧 器 具 , 上 有 显示 屏 , 可 以 显示 随机 密码 。 它 每 
60s 变换 一 次 动态 口令 ,动态 口令 一 次 有 效 , 它 产生 6 位 /8 位 动 
态 数字 。 图 3. 5 是 一 款 硬件 令 牌 。 

4) 软件 令 牌 

软件 令 牌 是 通过 软件 生成 随机 密码 。 


3。 动态 口令 技术 分 类 图 3.5 一 款 硬 件 令 牌 


动态 口令 技术 主要 分 两 种 : 同步 口令 技术 和 异步 口令 技术 (挑战 -应 答 方 式 )。 其 中 的 
同步 口令 技术 又 分 为 时 间 同 步 口令 和 事件 同步 口令 两 种 。 

1) 时 间 同 步 口 令 

时 间 同 步 口 令 基于 令 牌 和 服务 器 的 时 间 同 步 , 并 且 采 用 国际 标准 时 间 ,一 般 每 60s 产生 
一 个 新 口令 。 为 了 保持 服务 器 与 令 牌 的 同步 ,一 方面 ,要 求 服务 器 要 能 够 十 分 精确 地 保持 正 
确 的 时 钟 , 对 令 牌 的 晶振 频率 也 有 严格 的 要 求 ; 另 一 方面 ,由 于 令 牌 的 工作 环境 不 同 , 在 磁 
场 高温. 高压. 震 功 浸水 等 情况 下 易 发 生 时 钟 脉 冲 的 不 确定 偏 移 和 损坏 ,因此 在 每 次 进行 
认证 时 ,服务 器 端 将 会 检测 令 牌 的 时 钟 偏 移 量 ,不断 微 调 自己 的 时 间 记 录 。 
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2) 事件 同步 口令 

基于 事件 同步 的 令 牌 是 通过 某 一 特定 的 事件 次 序 及 相同 的 种 子 值 作为 输入 ,通过 哈 希 
算法 运算 出 一 致 的 密码 。 其 整个 工作 流程 与 时 钟 无 关 ,不 受 时 钟 的 影响 , 令 牌 中 不 存在 时 间 
脉冲 晶振 。 但 由 于 其 算法 的 一 致 性 ,其 口令 是 预先 可 知 的 ,通过 令 牌 .可 以 预先 知道 今后 的 
多 个 密码 , 故 当 令 牌 遗失 且 没 有 使 用 PIN 码 对 令 牌 进行 保护 时 ,存在 非法 登录 的 风险 。 因 
此 对 于 PIN 码 的 保护 是 十 分 必要 的 。 

3) 异步 口令 

异步 口令 不 需要 令 牌 和 服务 器 之 间 同 步 , 因 而 降低 了 对 应 用 的 影响 , 极 大 地 提高 了 系统 
的 可 靠 性 。 它 的 主要 技术 是 采用 了 挑战 /应 答 (challenge-response) 方 式 。 

基于 挑战 /应 答 方式 的 身份 认证 系统 在 每 次 认证 时 ,认证 服务 器 端 都 给 客户 端 发 送 一 个 
不 同 的 "挑战 ? 字 串 ,客户 端 程序 收 到 这 个 "挑战 ? 字 串 后 ,做 出 相应 的 "应答 ”, 具 体 过 程 如 下 : 

(1) 客户 向 认证 服务 器 发 出 请 求 ,要求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数 据 库 中 查询 用 户 是 否 是 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 
处 理 。 

(3) 认证 服务 器 内 部 产生 一 个 随机 数 , 作 为 “提问 ”, 发 送 给 客户 。 

(4) 客户 将 用 户 名 字 和 随机 数 合 并 ,使 用 单 向 哈 希 函数 (例如 MD5 算法 ) 生 成 一 个 6/8 
位 的 随机 数字 字 节 串 作 为 应 答 ,口令 一 次 有 效 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 二 者 相同 , 则 通过 一 次 认证 ;和 否则 ， 
认证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ,过 程 中 没有 了 客户 认证 请 求 这 一 步 。 这 个 过 程 增加 
了 用 户 操作 的 复杂 度 , 因 此 两 次 认证 的 时 间 间 隔 不 能 太 短 ,和 否则 就 给 网 络 、 客 户 和 认证 服务 
器 带 来 太 大 的 开销 ;也 不 能 太 长 ,否则 不 能 保证 用 户 不 被 他 人 盗用 IP 地 址 ,一 般 定 为 1 一 2 
分 钟 。 


4. 智能 卡 


智能 卡 (smart card) 是 一 种 集成 电路 卡 , 它 内 置 有 处 理 器 .可 以 存储 用 户 的 个 性 化 的 秘 
密 信 息 ,并 提供 硬件 保护 措施 和 加 密 算法 。 进 行 认 证 时 ,用 户 输入 自己 的 PIN, 先 由 智能 卡 
进行 认证 。 认 证 成 功 后 , 即 可 读 出 卡 中 的 秘密 信息 ,进而 进行 与 主机 间 的 认证 。 


5. 基于 挑战 /应 答 的 双 因 子 USB Key 


一 种 常用 的 智能 卡 是 基于 挑战 /应 答 的 双 因 子 USB Key( 见 图 3. 6) 。 所 谓 双 因子 认证 ， 


是 指 用 户 必须 具备 两 个 必要 因素 (如 PIN 和 USB Key), 才 可 以 登 
录 系 统 。 这 样 , 即 使 PIN 暴露 ,只 要 USB Key 不 同时 被 获得 PIN 
的 人 和 擎 握 , 用 户 的 合法 身份 就 不 会 被 假冒 ;或 者 USB Key 遗失 ,但 

没有 掌握 用 户 的 PIN ,用 户 的 合法 身份 也 不 会 被 假冒 。 图 3.6 一 款 USB Key 
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3.2 基于 密 钥 分 发 的 身份 认证 


密 钥 是 加 密 的 工具 ,但 由 于 密 钥 的 私密 性 ,使 它 也 具有 凭证 的 某 些 特性 。 在 网 络 环境 
下 , 密 钥 分 发 是 通过 握手 过 程 进行 的 ,这 个 过 程 要 遵守 某 种 规则 ,这些 称 为 认证 协议 或 算法 。 
在 这 个 过 程 中 也 有 了 身份 认证 的 作用 。 需 要 注意 的 是 ,“ 身 份 ”不 仅 包含 真实 性 ,还 包含 时 效 
性 , 即 此 刻 的 A 不 是 彼 刻 的 A, 只 有 确认 了 这 一 点 ,才能 有 效 地 防止 抵赖 行为 。 


3.2.1 公 钥 加 密 认 证 协议 

公 钥 加 密 认 证 协议 是 基于 公 钥 加 密 体 制 分 配 会 话 密 钥 过 程 实现 的 。 下 面 介 绍 几 种 认证 
协议 。 

1. 相互 认证 协议 


(1) 一 个 通过 认证 服务 器 AS 的 身份 认证 协议 如 下 。 

© A—AS: IDa | |IDs。 

@ AS—~A: Escs [LIDA||PKAI|T] ||Esws [LIDs|| PKs||T]. 

©® A 一 B: EsxsLIDas | |PKa||T] ||EsksLIDs|| PKs||T]| |Err, LEsr, LKs| | Tj. 

这 个 协议 需要 各 方 时 钟 同步 。 

(2) 一 个 通过 KDC 的 身份 认证 协议 如 下 。 

© A 一 KDC: ID, || IDs. 

© KDC—>A.: Esx, [LIDs || PKsj(SKau 是 KDC 的 私 钥 ) 。 

@ A 一 B: Erx, LNa||1IDaJ(Na 是 A 选择 的 一 次 性 随机 数 )。 

@ B-~KDC: IDs|| IDA11EekuvLNA]CPKaAuo 是 KDC 的 公 钥 )。 

©® KDC—>B: Esk [IDA1|PKA] || Erx, [Ese ,LNA1| Ks|| IDsJJCKs 是 KDC 为 A.B 
分 配 的 一 次 性 会 话 密 钥 ) 。 

© B-~A: Erk [LEsksu LNA || Ks|| IDs] || Nsj。 

© A 一 B， Exks[LNae]。 

这 个 协议 中 使 用 了 一 次 性 随机 数 , 所 以 不 再 要 求 各 方 时 钟 的 同步 。 但 是 ,这 个 协议 不 能 
抵御 攻击 者 对 A 的 假冒 。 请 读者 设法 为 此 改进 这 个 协议 。 


2. 单 向 认证 协议 


简单 地 说 ,认证 协议 主要 有 两 种 作用 : 提供 机 密 性 和 认证 性 。 在 公 钥 加 密 体制 中 ,这 些 
功能 要 看 是 否 为 对 方 提供 公 钥 。 
(1) 发 送 方 知道 接收 方 的 公 钥 , 才 有 可 能 实现 机 密 性 保护 。 例 如 ,下 面 的 协议 仅 提供 机 
密 性 : 
A—B: Eprs LKs] || Ex LM] (Ks 为 A 向 BB 发 送 的 一 次 通信 密 钥 )。 
(2) 接收 方 知道 发 送 方 的 公 钥 , 才 有 可 能 实现 认证 性 保护 。 例 如 ,下 面 的 协议 仅 提 供认 
证 性 : 
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A—B: M | |Esk, LHCOM)] 
这 时 ,为 了 使 B 确信 A 的 公 钥 的 真实 性 ,人 A 还 要 向 B 发 送 公 钥 证 书 : 
A—>B: MI1Esk LHCMDJ] || Esx,sLT|| IDa|| PKa 1(SKas 为 认证 服务 器 的 公 钥 ,Esx,、 
[TI| IDa|| PKAJ 是 AS 给 A 签署 的 公 钥 证 书 )。 
(3) 发 送 方 和 接收 方 互相 知道 对 方 的 公 钥 , 则 既 可 提供 机 密 性 又 可 提供 认证 性 ,例如 : 
A =B: Eprs LM ||Esk, LHCM) 1] 
这 时 ,为 了 使 B 确信 A 的 公 钥 的 真实 性 ,A 还 要 向 BB 发 送 公 钥 证 书 : 
A—>B: Eu [M 11Esk [LHCM)]] || Es LTs|| IDs11 PKA] 


3.2.2 单 钥 加 密 认 证 协议 
1. 相互 认证 协议 Needham-Schroeder 


如 2.1.5 节 所 述 , 通 过 KDC 进行 单 密 钥 分 配 , 通 常 采用 图 2.6 所 示 的 方法 。 这 个 过 程 
由 5 步 组 成 : 

(1) A 一 KDC: IDa|| IDs|| Na(A 和 KDC 请 求 与 B 加 密 通 信 )。 

(2) KDC—>A: Er, LKs|| IDs|| NAll Ex,sLKs|| IDA]](CA 获得 Ks)。 

(3) A—B: 下 xs LKs|| IDA](CB 安全 地 获得 Ks ) 。 

(4) B 一 人 A: Ek.LNsj(B 知道 A 已 掌握 Ks, 用 加 密 N; 向 A 示意 自己 也 获得 Ks)。 

(5) A 一 B: Ex.Lf(Ns)]。 

这 个 协议 被 称 为 Needham-Schroeder 协议 。 在 这 个 协议 中 ,前 3 步 是 KDC 分 发 密 钥 ， 
第 (4)、(5) 两 步 是 一 个 握手 过 程 , 即 B 认 证 A 的 过 程 : 当 在 第 (5) 步 中 B 能 正确 收 到 自己 在 
第 (4) 步 发 出 的 Ns 时 ,就 可 以 证 明 A 是 当前 的 通话 对 象 , 因 为 自己 在 第 (3) 步 获得 的 Ks 是 
“新 鲜 ” 的 ,而 非 攻 击 者 截获 的 前 一 次 执行 通话 时 用 过 的 Ks 的 重 放 。 但 是 ,车 攻击 者 已 经 获 
得 旧 会 话 密 钥 Ks ,并 冒充 A 向 B 重 放 第 (3) 步 的 消息 ,就 可 以 欺骗 B 使 用 旧 Ks 会 话 , 接 着 
截获 第 (4) 步 B 的 询问 ,再 冒充 A 对 B 应 答 。 这 样 就 能 冒充 A 向 B 发 送 假 消息 ,使 抗 抵 匮 
保护 失败 。 

改进 的 办 法 是 在 第 (2) 步 和 第 (3) 步 中 加 上 一 个 时 间 戳 , 即 

(2) KDC-~A: Ex, LKs|| IDs||TI|Exr LKs|| IDA117Z] 

(3) A 一 B: Exr, LKs|| IDaAl|| TJ 

这 样 ,A 和 了 都 可 以 利用 当前 时 间 对 T 进行 检查 ,以 确定 Ks 是 否 陈 旧 的 。 但 是 ,使 用 
这 个 协议 的 前 提 是 A 和 B 的 时 钟 完 全 同步 。 若 由 于 系统 故障 或 存在 计时 误差 ,就 会 被 攻击 
者 利用 时 间 差 进行 重 放 攻 击 。 

重 放 攻 击 (replay attacks) 又 称 重 播 攻 击 、 回 放 攻 击 或 新 鲜 性 攻击 (freshness attacks)， 
是 指 攻击 者 发 送 一 个 目的 主机 已 接收 过 的 包 ,. 用 欺骗 手法 破坏 认证 的 正确 性 。 

克服 这 一 缺陷 的 方法 是 将 Needham-Schroeder 协议 进一步 改进 为 以 下 过 程 : 

(1) A—B: IDA|| NA 

(2) B>KDC: IDs|| Ns|| Ex,[IDA|| Nal| Ts] 

(3) KDC—>A.: Ex LIDs|| Na|l| Ks|| IDal| Ts] || ExsLIDA|| Ks|| Ts || Ns 
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(4) A—B: Ex, LIDa | | Ks|| Taj | | Ex LNs] 
这 个 协议 的 执行 过 程 如 图 3.7 所 示 。 


CD) 


图 3.7 进一步 改进 的 Needham-Schroeder 协议 


分 析 这 个 进一步 改进 的 Needham-Schroeder 协议 可 以 看 出 以 下 几 点 。 

在 第 (1) 步 中 ,A 将 ID 和 Na 以 明文 传送 给 B; 在 第 (2) 步 中 ,B 用 自己 和 KDC 共享 的 
主 密 钥 对 IDa。 和 NA 加 密 传送 给 KDC; 在 第 (3) 步 中 ,KDC 对 从 B 传 来 的 信息 解密 ,再 用 
KDC 与 A 共享 的 主 密 钥 ,将 Ks 和 NA 一 同 加 密 传 回 A。A 验证 了 NA 就 可 以 知道 ,B 已 经 收 
到 了 A 在 第 (1) 步 中 发 送 的 消息 ,同时 也 确信 Ks 是 新 鲜 的 。 

在 第 (2) 步 中 ,B 将 IDs 和 Ns 以 明文 传送 给 KDC, 经 第 (3) 步 由 KDC 将 Ns 传送 给 人 A, 再 
由 A 用 Ks 加 密 Ns 传 回 B。 同 NA 的 作用 一 样 ,Na 用 来 保证 B 收 到 的 Ks 是 新 鲜 的 。 

在 第 (2) 步 中 ,B 发 出 的 Ts 是 B 建议 的 证 书 截止 时 间 , 它 是 BB 根 据 自 己 的 时 钟 确定 的 ， 
不 要 求 各 方 之 间 同 步 。 

Exr,LIDa|| Na|| Taj 经 KDC 传送 给 A, 由 A 留 作 以 后 认证 的 证 据 , 并 可 以 在 有 效 时 
间 范 围 内 ,不 借助 认证 服务 器 CKDC) 而 是 通过 以 下 几 步 实现 双方 的 新 认证 : 

(1) A>B: Eu LIDa|| Ks|| Tea]，NA 

(2) B>A: Ns,Ex.[L NA] 

(3) A—>B: Ex.[L Ns] 

这 里 ,B 通过 Ts 检验 证 据 是 否 过 时 ,而 新 产生 的 随机 数 NA 和 Ns 可 以 用 来 保证 没有 重 
放 攻 击 。 


2. 单 向 认证 协议 


对 于 单 向 保密 通信 特点 ,在 Needham-Schroeder 协议 中 去 掉 第 (4) 步 和 第 (5) 步 ,就 成 为 
能 满足 单 向 通信 两 个 基本 要 求 的 单 向 认证 协议 : 

(1) A 一 KDC: IDa|| IDs|| Na 

(2) KDC—A: Ex, LKs|| IDs | | Nal | Ex, LKs|| TI | 

(3) A 一 B: Exr, LKs|| Wa Ex LM] 

这 个 协议 提供 了 对 于 发 送 方 A 的 认证 ,保证 只 有 B 才 能 阅读 报 文 。 但 是 , 它 不 能 防止 
重 放 攻击 。 为 此 ,可 以 使 用 时 间 戳 。 不 过 由 于 电子 邮件 处 理 的 延迟 性 ,时间 戳 的 作用 有 限 。 


3.2.3 Kerberos 认证 系统 


Kerberos 是 MIT( 麻 省 理工 学 院 ) 的 一 种 基于 Needham-Schroeder 算法 的 网 络 认 证 系 
统 ,其 设计 目标 是 通过 对 称 密 钥 系统 为 客户 /服务 器 应 用 程序 提供 强大 的 认证 服务 。 
iv 症 引 中， 


Kerberos 的 名 称 来 自 希腊 神话 中 一 种 有 3 个 脑袋 的 地 狱 守 门 狗 。 设 计 者 采用 这 个 名 字 是 
想 给 网 络 大 门 提供 如 下 3 种 守护 : 

。 认证 Cauthentication ) 。 

。 清算 (Caccounting ) 。 

。 审计 Caudit) 。 


1. Kerberos 的 计算 环境 


Athena 认为 ,Kerberos 计算 环境 由 大 量 的 匿名 工作 站 和 相对 较 少 的 独立 服务 器 组 成 。 
服务 器 提供 文件 存储 打印 .邮件 等 服务 ,工作 站 主要 用 于 交互 和 计算 。 在 此 环境 中 存在 如 
下 3 种 威胁 : 

(1) 用 户 可 以 访问 特定 的 工作 站 并 伪装 成 该 工作 站 用 户 。 

(2) 用 户 可 以 改动 工作 站 的 网 络 地 址 ,伪装 成 其 他 工作 站 。 

(3) 用 户 可 以 根据 交换 窃取 消息 ,并 使 用 重 放 攻 击 来 进入 服务 器 。 

在 整个 网 络 中 ,除了 Kerberos 服务 器 外 ,其 他 都 是 危险 区 域 ,任何 人 都 可 以 在 网 络 上 读 
取 、 修 改 和 插入 数据 。 作 为 一 种 可 信任 的 第 三 方 认 证 服务 ,在 这 样 的 环境 下 ,Kerberos 认证 
过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ,无 须 基于 主机 地 址 的 信任 ,不 要 求 网 络 上 所 有 主 
机 的 物理 安全 ,并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 读 取 修改 和 插入 数据 。 


2. Kerberos 系统 组 成 


一 个 完整 的 Kerberos 主要 由 如 下 几 个 部 分 组 成 。 

1) 两 个 服务 对 象 

(1) 客户 (client): 发 起 认证 服务 方 。 

(2) 服务 器 (Cserver) : 接受 客户 端的 请 求 ,对 数据 库 进行 操作 。 

2) 两 类 凭证 

在 Kerberos 中 使 用 两 类 凭证 。 

(1) 票证 (Ticket Granting Ticket,TGT) .也 称 人 场 券 CTicketrcs ) : 用 来 安全 地 在 认证 
服务 器 和 用 户 请 求 的 服务 之 间 传 递 信 息 ,内 容 包括 : 四 用 户 的 身份 ;@ 下 一 阶段 通信 双方 使 
用 的 临时 加 密 密 钥 一 一 会 话 密 钥 (session key);@ 时 间 标 记 (timestamp) ,用 于 检测 重 放 攻 
击 (replay attack)。 信 场 券 一 旦 生成 ,在 其 生存 期 内 可 以 被 用 户 多 次 使 用 来 申请 同一 个 服 
务 器 的 服务 。 

(2) 鉴别 码 Cauthenticator) : 是 用 来 作为 认证 凭证 的 一 段 加 密 文字 ,用 来 提供 信息 与 入 
场 券 中 的 信息 进行 比较 ,一 起 保证 发 出 入 场 券 的 用 户 就 是 入 场 券 中 指定 的 用 户 , 以 防止 攻击 
者 再 次 使 用 同一 凭证 。 其 内 容 包 括 校 验 和 、 子 密 钥 、 序 列 号 和 身份 认证 数据 。 它 们 只 能 在 一 
次 服务 请 求 中 使 用 ,每 当 用 户 向 服务 器 申请 服务 时 ,必须 重新 生成 Authenticator。 

两 种 凭证 均 使 用 私有 密 钥 加 密 ,但 加 密 的 密 钥 不 同 。 

3) 两 个 库 

(1) Kerberos 数据 库 ( 中 心 数据 库 ): 记载 了 每 个 Kerberos 用 户 的 名 字 、 用 户口 令 、 私 
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有 密 铀 和 截止 信息 (记录 的 有 效 时 间 ,通常 为 几 年 ) 等 重要 信息 。 

(2) Kerberos 应 用 程序 库 : 应 用 程序 接口 :包括 创建 和 读 取 认 证 请 求 . 以 及 创建 safe 
message 和 private message 的 子 程序 。 

4) 两 个 服务 器 

为 了 减轻 每 个 服务 器 的 负担 ,Kerberos 把 身份 认证 的 任务 集中 在 身份 认证 服务 器 上 。 
Kerberos 的 认证 服务 任务 被 分 配给 两 个 相对 独立 的 服务 器 。 

(1) 认证 服务 器 (Authenticator Server, AS): 存放 一 个 Kerberos 数据 库 的 只 读 副 本 ， 
生成 会 话 密 钥 ,验证 用 户 身份 。 当 一 个 用 户 登 录 到 一 个 企业 内 部 网 请 求 访 问 内 部 服务 器 时 ， 
AS 将 根据 中 心 数据 库存 储 的 用 户 密 码 生 成 一 个 DES 加 密 密 钥 ,对 一 个 人 场 券 (Ticketros) 
进行 加 密 。 这 个 入 场 券 是 提供 给 TGS 的 。 

(2) 票据 分 配 服 务 器 (Ticket Granting Server,TGS): 也 称 人 场 券 许 可 服务 器 ,用 于 发 
放 身 份 证 明 票 据 ( 凭 证)。 当 用 户 要 访问 某 个 服务 器 S 时 ,TGS 就 会 查找 中 心 数 据 库 中 的 存 
取 控 制 表 , 以 确认 该 用 户 是 否 已 经 授权 使 用 该 服务 器 。 确 认 后 ,会 生成 一 个 新 的 凭证 
(Tickets ,相当 于 手 牌 )。 这 个 新 的 凭证 包含 有 与 服务 器 相关 的 密 铀 和 加 密 后 的 人 场 券 
(Ticketrcs ) 。 


3. Kerberos 系统 认证 使 用 的 信息 


(1) 在 认证 过 程 中 使 用 以 下 身份 识别 码 : 

IDc : 客户 (工作 站 ) 标 识 。 

IDr: TGS 标识 。 

IDs : 服务 器 标识 。 

(2) 在 认证 过 程 中 使 用 如 下 密 钥 : 

Kc: C 的 用 户 密 钥 , 由 C 上 的 用 户口 令 导 出 ,可 与 AS 共享 。 

Ks: S 的 用 户 密 钥 ,可 与 TGS 共享 。 

Kr: TGS 的 用 户 密 钥 ,AS 与 TGS 共享。 

Ker : 会 话 密 钥 ,C 与 TGS 共享 。 

Kcs: 会 话 密 钥 ,C 与 S 共享 。 

用 户 密 钥 属 长 效 密 钥 (long-term key) ;会 话 密 钥 属 短 效 密 钥 (short-term key) , 仅 用 于 
一 次 会 话 。 

(3) 在 认证 过 程 中 使 用 如 下 数据 : 

ADc: C 的 网 络 地 址 。 

TS;: 第 :个 时 间 惟 。 

Lifetime; : 第 i 个 有 效 期 间 。 

(4) 在 认证 过 程 中 获取 如 下 凭证 : 

Tickets: 服务 器 入 场 券 。 

Ticketrcs : TGS 的 人 场 券 。 

Authenticators : 用 户 生 成 的 最 终 认 证 信息 。 
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4. Kerberos 同 域 认 证 过 程 
Kerberos 的 同 域 认证 过 程 如 图 3. 8 所 示 ,分 为 3 个 阶段 6 个 步骤。 


@ Kerberos 系 统 (KDC) 
© 四 | AS 2 
L 中 心 数 据 库 
服务 器 S © 客户 C TGS a 


图 3.8 Kerberos 同 域 认证 


(1) 认证 服务 交换 ,客户 从 AS 取得 入 场 券 。 
步骤 四 客户 向 AS 发 出 访问 TGS 请 求 ( 用 TS 防止 回放 攻击 ): 
C—>AS: Ex.LIDc|| IDr||TS]。 
步骤 @AS 向 C 发 放 人 场 券 TGS 许可 票证 Ticketrcs : 
AS-~C: Ex.LKcer||IDr|| TSs|11 Lifetimes | | Ticketrcs]。 
其 中 : 
Kcr 为 供 C 与 TGS 共享 的 会 话 密 钥 。 
Ticketres—=Ex, LKer|| IDc|| ADc|| IDr|| TS;|| Lifetimes ]。 
(2) 入 场 券 许可 服务 交换 ,C 用 入 场 券 换取 TGS 服务 许可 凭证。 
步骤 @C 向 TGS 发 出 请 求 ,内 容 包 括 服 务 器 识别 码 、 入 场 券 和 一 个 认证 符 : 
C—>TGS: Ex LIDs|| Ticketres|| Authenticatorc ] 。 
其 中 : 
Ticketros 一 Ex, LKer | |IDc ||ADc|| IDr ||TS; | | Lifetimes ]( 提 交 入 场 券 供 TGS 认证 )。 
Authenticatorc = Ek. [IDc|| ADc||TS;]( 向 TGS 提供 自己 的 鉴别 码 ) 。 
步骤 四 TGS 验证 ,向 C 发 出 服务 许可 和 凭证: 
TGS-~C: Ex LKes||IDs||TS,|| Tickets]。 
其 中 : 
Kcs 为 C 与 S 的 会 话 密 钥 。 
Tickets 一 ErisLKcs||IDe || ADc | |IDs ||TS, | |Lifetime](C 无 法 解密 ,只 能 转交 S 
认证 )。 
(3) 客户 和 服务 器 相互 认证 ,用户 从 服务 器 获取 服务 
步骤 OC 向 服务 器 证 明 自 己 的 身份 (用 Tickets 和 Authenticators ) 
CS: Ex, [LTickets | | Authenticatorc ] 。 
其 中 : 
Tickets— Ex,s LKces| | IDc|| ADc|| IDs| | TS,|| Lifetime, |。 
Authenticators = Ex.. LIDc [| :ABel | TS: |], 
S 用 Tickets 与 Authenticators 对 比 , 进 行 认证 。 
步骤 @ 服 务 器 向 客户 证 明 自 己 的 身份 : 
S—>C: Ex LTS; +1]。 
。160 。 


这 个 过 程 结 束 , 客 户 C 与 服务 器 S 之 间 就 建立 起 了 共享 会 话 密 钥 , 以 便 以 后 进行 加 密 
通信 或 交换 新 密 钥 。 

5. Kerberos 异域 认证 

由 于 管理 控制 .政治 经 济 和 其 他 的 因素 ,不 太 可 能 在 世界 范围 内 实现 统一 的 Kerberos 
的 认证 中 心 ,而 每 一 个 Kerberos 的 认证 中 心 都 具有 或 大 或 小 的 一 定 监 管区 域 (Kerberos 的 


认证 域 ) ,客户 向 本 Kerberos 的 认证 域 以 外 的 服务 器 申请 服务 的 过 程 如 图 3.9 所 示 , 分 
为 7 步 。 


Kerberos 


Kerberos 
AS 


图 3.9 Kerberos 异域 认证 


@ C 一 AS， Ex. LIDe 11 IDr | |TS, ] o 

© AS—C: Ex [Ker | |IDr|| TS;|| Lifetimes | | Ticketres] 。 

Q@ C—TGS: Ex [LIDrs|| Ticketrcs || Authenticatorc ](IDrs 为 领域 B 的 TRSs 标 识 )。 
@ TGS 一 C: Er LKers| |IDzrs | | TS, | | Ticketrs | (Kcrs 为 C 与 TRSs 会 话 的 密 钥 六 
© C 一 TRSe : Er, LIDrs | | Ticketrs | | Authenticatorc ] 。 

© TRSs >C: ExrcsLKes|| IDrs|| |1TSe11 Ticketrs]。 
(CSS: Ea. [Ticketrs | | Authenticatorc ] 。 


3.3 基于 数字 证 书 的 身份 认证 
3.3.1 数字 证 书 


1. 数字 证 书 的 特点 


数字 证 书 , 也 称 数字 身份 证 或 数字 ID ,其 实 就 是 一 个 特殊 的 计算 机 文件 ,这 个 计算 机 文 
件 由 权威 机 构 认证 中 心 (Certificate Authority, CA) 制 作 , 是 给 网 上 用 户 的 一 组 数字 信 
息 ,包含 用 户 身 份 信 息 .用 户 公 开 密 钥 .签名 算法 标识 .证 书 有 效 期 ,证书 序列 号 、 颁 证 单位 和 
扩展 项 等 。 数 字 证 书 有 以 下 特点 : 

(1) 它 包 含 了 身份 信息 ,因此 可 以 用 于 证 明 用 户 身 份 。 

(2) 它 包 含 了 非 对 称 密 钥 ,不 但 可 用 于 数据 加 密 : 还 可 用 于 数据 签名 ,保证 通信 过 程 的 
安全 和 不 可 抵赖 。 

(3) 由 于 它 是 权威 机 构 颁 布 的 ,因此 具有 很 高 的 公信 度 。 
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有 了 数字 证 书 之 后 ,在 网 上 通信 的 双方 进行 联系 的 第 一 步 便 是 利用 预 装 在 浏览 器 中 的 
安全 认证 软件 和 认证 中 心 的 公 钥 对 通信 对 象 的 数字 证 书 进行 验证 ;验证 无 误 后 , 才 可 使 用 认 
证 中 心 传递 的 加 密 公 钥 进 行 加 密 通 信 。 


2. 基于 数字 证 书 的 USB Key 


基于 数字 证 书 的 智能 卡 ,是 用 智能 卡 作 为 数字 证 书 的 存储 介质 ,可 以 保证 数字 证 书 不 被 
复制 ,并 可 以 实现 数字 证 书 的 所 有 功能 。 中 国 农业 
银行 的 U 盾 ( 见 图 3. 10) 实 际 上 是 一 种 基于 数字 证 
书 的 USB Key。 它 不 仅 可 以 履行 数字 证 书 的 功能 ， 
进行 双 因 子 认证 ,还 可 以 自动 生成 一 个 随机 布局 的 
软 键 盘 供用 户 输入 自己 的 PIN, 从 多 个 角度 保障 客 
户 账 户 安全 。 


3. 数字 证 书 分 类 


常见 的 数字 证 书 有 以 下 几 种 : 

(1) Web 服务 器 证 书 。 用 于 Web 服务 器 与 用 户 浏览 器 之 间 建 立 安全 连接 通道 。 

(2) 服务 器 身份 证 书 。 提 供 服务 器 身份 信息 、 公 钥 和 CA 签名 ,用 于 确保 与 其 他 服务 器 
或 用 户 通信 的 安全 。 

(3) 计算 机 证 书 。 提 供 计算 机 的 身份 信息 ,确保 与 其 他 计算 机 通信 的 安全 性 。 

(4) 个 人 证 书 。 提 供 证 书 持 有 人 的 个 人 身份 信息 、 公 钥 和 CA 签名 ,用 于 在 网 络 中 标识 
个 人 身份 。 浏 览 器 证 书 也 是 一 种 个 人 证 书 。 

(5) 安全 电子 邮件 证 书 。 提 供 证 书 持 有 者 的 电子 邮件 地 址 、 公 钥 和 CA 签名 ,用 于 电子 
邮件 的 安全 传递 和 认证 。 

(6) 企业 证 书 。 提 供 企业 的 身份 信息 、 公 钥 和 CA 签名 ,用 于 在 网 络 中 标识 证 书 持 有 者 
的 身份 。 

(7) 代码 签名 证 书 。 附 加 在 软件 代码 中 ,用 于 证 实 软件 的 真实 性 ,保护 软件 代码 的 完整 
性 的 数字 证 书 。 


4. 认证 中 心 


认证 中 心 (CA) 是 可 以 信赖 的 第 三 方 机 构 , 具 有 如 下 一 些 功能 。 

(1) 颁发 证 书 。 如 密 钥 对 的 生成 , 私 钥 的 保护 等 ,并 保证 证 书 持 有 者 应 有 不 同 的 密 
钥 对 。 

(2) 管理 证 书 。 记 录 所 有 颁发 过 的 证 书 以 及 所 有 被 吊销 的 证 书 。 

(3) 用 户 管理 。 对 于 每 一 个 新 提交 的 申请 ,都 要 和 列表 中 现存 的 标识 名 相 比 照 ,如 出 现 
重复 ,就 予以 拒绝 。 

(4) 吊销 证 书 。 在 证 书 有 效 期 内 使 其 无 效 ,并 发 表 CRL。 

(5) 验证 申请 者 身份 。 对 每 一 个 申请 者 进行 必要 的 身份 认证 。 

(6) 保护 证 书 服务 器 。 证 书 服务 器 必须 是 安全 的 ,CA 应 采取 相应 措施 保证 其 安全 性 。 
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图 3.10 中 国 农 业 银 行 的 U 盾 


例如 ,加 强 对 系统 管理 员 的 管理 以 及 防火 墙 保护 等 。 

(7) 保护 CA 私 钥 和 用 户 私 钥 。CA 签发 证 书 所 用 的 私 钥 要 受到 严格 的 保护 ,不 能 被 毁 
坏 ,也 不 能 非法 使 用 。 同 时 ,根据 用 户 密 钥 对 的 产生 方式 ,CA 在 某 些 情况 下 有 保护 用 户 私 
钥 的 责任 。 

(8) 审计 与 日 志 检 查 。 为 了 安全 起 见 ,CA 对 一 些 重要 的 操作 应 记 和 系统 日 志 。 在 CA 
发 生 事故 后 ,要 根据 系统 日 志 做 善后 追踪 处 理 一 一 审计 。CA 管理 员 要 定期 检查 日 志文 件 ， 
尽早 发 现 可 能 的 隐患 。 


5. 用 户 证 书 的 吊销 


在 下 列 情形 下 ,应 当 将 用 户 证 书 吊 销 : 

。 一 个 用 户 证 书 到 期 。 

。 用 户 秘密 密 钥 泄露 。 

。 CA 的 证 书 失窃 。 

。 CA 不 再 给 用 户 签发 证 书 。 

每 一 个 CA 必须 维护 一 个 证 书 吊销 列表 (Certificate Revocation List,CRL)。CRL 中 列 
出 所 有 已 吊销 证 书 的 序列 号 和 吊销 日 期 。 


3.3.2 X.509 证 书 标 准 


为 了 保障 数字 证 书 合理 获取 、 撤 出 和 验证 过 程 ,1988 年 ITU-T 发 表 了 X. 509 标准 。 这 
是 一 个 基于 公开 密 铀 和 数字 签名 的 标准 , 它 的 核心 是 数字 证 书 格 式 和 认证 协议 。X. 509 作 
为 X. 500 目录 服务 的 一 部 分 ,定义 了 下 列 内 容 : 

。 X. 500 目录 向 用 户 提 供认 证 业务 的 一 个 框架 。 

。 证 书 格式 。 

。 基于 公 和 钥 证 书 的 认证 协议 。 

1. X. 509 数字 证 书 结构 


X. 509 标准 的 核心 是 与 用 户 有 关 的 公开 密 钥 证 书 。 其 V3 的 结构 如 下 。 
。 _ Certificate (证 书 ) 
0 Version (版 本 ) 
0 Serial Number (序列 号 ) 
o。 Algorithm ID (算法 标识 ) 
o Issuer (颁发 者 ) 
o Validity (有 效 期 ) 
m Not Before (起 始 日 期 ) 
mm Not After (终止 日 期 ) 
o Subject (使 用 者 ) 
o Subject Public Key Info (使 用 者 公 钥 信息 ) 
m Public Key Algorithm ( 公 钥 算法 ) 
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m Subject Public Key ( 公 钼 ) 
o Issuer Unique Identifier (Optional) (颁发 者 的 唯一 标识 ) 
0o Subject Unique Identifier (Optional) (使 用 者 的 唯一 标识 ) 
o Extensions (Optional) (扩展 ) 
四 
。 Certificate Signature Algorithm (证 书签 名 算法 ) 
。 Certificate Signature (证 书签 名 ) 


X. 509 标准 使 用 了 下 面 的 描述 进行 证 书 定义 : 
CA<~<A>>=CA{V,SN,AI,CA,T, ,A,Ar)} 

其 中 : 

Y 一 二 X 二 二 表示 证 书 发 放 机 构 Y 向 用 户 X 发 放 的 证 书 。 

Y{ 了 表示 I 链接 上 YY 对 了 I 的 哈 希 值 签名 。 


2. 证 书目 录 


证 书 产生 之 后 ,必须 以 一 定 的 方式 存储 和 发 布 , 以 便于 使 用 。X. 509 标准 的 公开 密 钥 证 
书 由 CA 或 用 户 放 在 X.500 目录 下 进行 集中 存储 和 管理 ,并 由 一 个 可 信赖 的 证 书 授权 系统 
CA 确认 。 在 证 书目 录 中 ,不仅 存储 和 管理 用 户 证 书 , 还 存储 用 户 的 相关 信息 (如 电子 邮件 
地 址 `. 电 话 号 码 等 )。 由 于 证 书 的 非 保 密 性 ,证 书目 录 也 是 非 保密 的 。 

在 标准 化 方面 ,目前 证 书目 录 广 泛 使 用 X. 500 标准 。X. 500 标准 目录 不 仅 可 以 对 证 书 
进行 集中 管理 ,还 可 以 管理 用 户 相 关 信 息 , 从 而 构成 一 个 用 户 信 息 源 。 

为 了 便于 实际 应 用 ,在 Internet 环境 下 更 多 使 用 的 是 X. 500 标准 的 简化 和 改进 版 
本 一 一 LDAP(Lightweight Directory Access Protocol ,轻型 目录 访问 协议 ) 。 


3. X. 509 证 书 的 层次 结构 


X. 500 目录 的 作用 是 存放 用 户 的 公 钥 证 书 。 由 于 证 书 不 能 伪造 ,它们 可 以 不 需要 特别 
的 保护 就 可 以 放 在 目录 里 。 现 在 的 问题 是 ,是 不 是 所 有 的 证 书 都 要 由 同一 个 CA 签署 ? 

一 般 说 来 , 当 用 户 数 目 较 多 时 , 仅 由 一 个 CA 为 所 有 用 户 签署 是 不 现实 的 。 因 为 这 样 需 
要 两 个 条 件 : 

(1) CA 必须 取得 所 有 用 户 的 信任 。 

(2) 每 一 个 用 户 必 须 以 绝对 可 靠 的 方式 通过 复制 获得 CA 的 公 钥 来 证 实 。 

显然 , 当 用 户 数目 较 多 时 ,应 当 由 多 个 CA 分 头 为 不 同 的 用 户 签署 证 书 。 但 是 ,简单 地 
由 多 个 CA 为 不 同 的 用 户 签署 证 书 , 也 有 一 些 问题 。 例 如 ,Xi 为 A 签署 了 一 个 证 书 ,X* 为 也 
签署 了 一 个 证 书 。 那 么 ,A 不 能 阅读 B 的 证 书 , 也 不 能 证 实 B 的 证 书 ;同样 ,B 不 能 阅读 A 
的 证 书 , 也 不 能 证 实 A 的 证 书 。 这 一 目录 结构 如 图 3.11(a) 所 示 。 

观察 图 3.11(b) ,情况 就 不 同 了 : 

(1) A 可 以 从 此 目录 中 获得 X 签 署 的 X: 的 证 书 。 由 于 A 确切 知道 X 的 公 钥 ,从 X: 的 
证 书 中 就 可 以 获得 X; 的 公 钥 ,并 利用 Xi 来 证 实 。 
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< < CX 1 X> XI<<X2>> 


CE Oa CR 
XI<<A>> X2<<B>> | XI<<A>> X2<<B>> 
(a) 两 个 独立 的 CA (b) Xl 为 X, 签 署 证 书 


图 3.11 多 CA 结构 


(2) 进一步 A 能 获得 X; 签 署 的 B 的 证 书 ,并 可 以 用 已 经 获得 的 X; 的 公 钥 来 证 实 B 的 
数字 签名 ,安全 地 获得 B 的 公 钥 。 
这 样 ,就 形成 了 证 书 链 。 其 中 ,A 获得 B 的 公 钥 的 证 书 链 , 在 X. 509 中 的 表示 为 
Xi<=<=X:>>X,<=<B>> 
同 理 ,B 通 过 反 向 链 也 可 以 获得 A 的 公 钥 ,其 结构 表示 为 
Xs =<—X>>X<=<=A>> 
这 样 证 书 链 形成 一 个 层次 结构 。X. 509 建议 所 有 的 CA 证 书 须 由 CA 放 在 目录 中 ,并 
且 要 采用 层次 结构 。 图 3. 12 为 X. 509 层次 结构 的 一 个 例子 ,其 内 部 节点 表示 CA, 叶 节点 
表示 用 户 。 用 户 可 以 从 目录 中 沿 着 一 条 证 书 路 径 获 得 另 一 个 节点 的 证 书 和 公 钥 。 例 如 ,人 
获取 BB 证 书 的 证 书 路 径 为 
X<~<<W>>w<<v>>v<<Y>>Y<<z>>z<<B>> 


U<<W>> 
V<<U>> 


V<<Y>> 
Y<<V>> 


W<<Xx>> 
X<<W>> 
Me 


Y<<Z>> 
Z<<X>> 
Z<<X>> 


X<<A>> Z<<B>> 


Ce gn C 


图 3.12 X. 509 层次 结构 的 一 个 例子 


A 取得 这 些 证 书后 ,就 能 解密 其 证 书 路 径 , 获 得 一 个 可 信 的 B 的 公 钥 。 

4. X. 509 验证 过 程 

图 3.13 为 X.509 建议 的 3 种 验证 过 程 : 一 次 验证 过 程 .二 次 验证 过 程 和 三 次 验证 
过 程 。 

这 3 种 验证 过 程 都 是 使 用 公 钥 签名 技术 ,并 假定 通信 双方 都 认可 目录 服务 器 获得 对 方 
的 公 钥 证 书 ,或 对 方 最 初 发 来 的 报 文中 包括 公 钥 证 书 ( 即 双方 都 知道 对 方 的 公 钥 ) 。 

1) 一 次 验证 

一 次 验证 也 称 单 向 验证 。 被 验证 者 A 产生 报 文 供 验证 者 也 验证 。 包 括 如 下 内 容 ， 
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D AtralTA DallSenDatal Ep IKaa]} 
(a) 一 次 验证 

DAtralTA DallSenDatalEpx, [KABD} 
© @s trlra lrallSenDatal Enc [Kaal} B®) 
人 三 次 验证 


四 AfrallTAllIDallSsnDatallEeks[KAe]} 


CE 一 Tal ED 
A B} 


(c) 三 次 验证 
图 3.13 XX.509 的 3 种 验证 过 程 


© 
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。 IDs: B 的 身份 。 
。 TA: 时 间 戳 :以 保证 报 文 的 新 鲜 性 。 其 中 可 以 包括 报 文 产生 的 时 间 ( 可 选 ) 和 截止 时 
间 , 以 处 理 报 文 传送 过 程 中 可 能 出 现 的 时 延 。 
。 ra: 一 次 性 随机 数 , 防 止 重 放 。 在 报 文 未 到 截止 时 间 前 是 唯一 的 ,以 拒绝 具有 相同 
~A 的 其 他 报 文 。 
如 果 仅 仅 为 了 验证 ,可 以 上 述 报 文 作为 凭证 ;否则 ,还 应 包括 下 列 内 容 : 
。 A 用 自己 的 公 钥 签署 的 数字 签名 SgnData, 以 保证 信息 的 真实 性 和 完整 性 。 
。 由 B 的 公 钥 加 密 的 双方 会 话 密 钥 Kas 。 
2) 二 次 验证 
二 次 验证 也 称 为 双方 验证 , 即 A 不 仅 要 向 B 发 送 验 证 凭证 信息 ,B 也 要 通过 应 答 以 证 
明 以 下 几 点 : 
。 IDs 的 身份 。 
。 应 答 是 由 BB 发 出 的 。 
。 应 答 的 接收 者 是 A。 
。 应 答 报 文 是 完整 的 和 新 鲜 的 。 
3) 三 次 验证 
三 次 验证 是 在 二 次 验证 完成 之 后 ,A 再 将 B 发 来 的 一 次 性 随机 数 签 名 后 发 往 B。 这 样 
通过 检查 一 次 性 随机 数 就 可 以 得 知 是 和 否 有 重 放 ,而 不 需 检查 时 间 戳 。 这 种 方法 主要 用 在 通 
信 双 方 无 法 建立 时 钟 同步 的 情形 。 


3.3.3 公开 密 钥 基础 设施 PKI 


1. PKI 及 其 职能 


公开 密 钥 基础 设施 (Public Key Infrastructure,PKI) 是 20 世纪 80 年 代 在 公开 密 钥 理 

论 和 技术 的 基础 上 发 展 起 来 的 为 电子 商务 提供 综合 、 安 全 基础 平台 的 技术 和 规范 。 它 的 核 

心 是 对 信任 关系 的 管理 。 通 过 第 三 方 信任 ,为 所 有 网 络 应 用 透明 地 提供 加 密 和 数字 签名 等 
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密码 服务 所 必需 的 密 钥 和 证 书 管理 ,从 而 达到 保证 网 上 传递 数据 的 安 人 全、 真实、 完整 和 不 可 
抵赖 的 目的 。PKI 的 基础 技术 包括 加 密 、 数 字 签 名 、 数 据 完整 性 机 制 和 双重 数字 签名 等 。 利 
用 PKI 可 以 方便 地 建立 和 维护 一 个 可 信 的 网 络 计 算 环 境 , 建 立 一 种 信任 机 制 , 使 人 们 在 这 
个 无 法 相互 见面 的 环境 中 ,能 够 确认 对 方 的 身份 和 信息 ,从 而 为 电子 支付 .网 上 交易 、 网 上 购 
物 和 网 上 教育 等 提供 可 靠 的 安全 保障 。 

PKI 系统 的 建立 着 眼 于 用 户 使 用 证 书 及 相关 服务 的 便利 性 以 及 用 户 身 份 认 证 的 可 靠 
性 。 具 体 职 能 如 下 : 

。 制定 完整 的 证 书 管理 政策 。 

。 建立 高 可 信和 度 的 CA 中 心 。 

。 负责 用 户 属 性 管理 .用 户 身 份 隐私 的 保护 和 证 书 作 上 废 列表 的 管理 。 

。 为 用 户 提 供 证 书 和 CRL 有 关 服 务 的 管理 。 

。 建立 安全 和 相应 的 法 规 . 建 立 责任 划分 并 完善 责任 政策 。 

因此 ,PKI 是 一 个 使 用 公 钥 和 密码 技术 实施 并 提供 安全 服务 的 .具有 普 适 性 的 安全 基础 
设施 的 总 称 , 并 不 特 指 某 一 密码 设备 及 其 管理 设备 。 可 以 说 , 它 是 生成 .管理 .存储 、 颁 发 和 
撤销 基于 公开 密码 的 公 钥 证 书 所 需要 的 人 硬件、 软件、 人员、 策略 和 规程 的 总 合 。 


2. PKI 的 组 成 


通常 CA 分 成 不 同 的 一 些 层次 。 一 个 典型 PKI 体系 结构 如 图 3. 14 所 示 。 其 中 ,PAA 
为 政策 批准 机 构 ,PCA 为 政策 认证 机 构 ,.ORA (Online Registration Authority) 为 在 线 注册 
机 构 。 它 们 的 区 别 在 于 政策 权限 不 同 : 下 层 的 证 书 要 由 上 层 颁 发 。 


CA 


A, 


人 


CA 本 CA, 


人 [多 
Ei - 


E 


ORA | … | EE, 3 ORA 


图 3.14 典型 的 PKI 体系 结构 


1) 政策 批准 机 构 


政策 批准 机 构 (PAA) 是 一 个 PKI 系 统 方针 的 制定 者 , 它 建立 整个 PKI 体系 的 安全 策 
略 ,批准 本 PAA 下 属 的 PCA 的 政策 ,为 下 属 PCA 签发 证 书 , 并 负 有 监控 各 PCA 行为 的 


责任 。 
2) 政策 认证 机 构 
PCA 指定 自身 的 具体 政策 。 这 些 政策 可 以 是 其 上 级 PAA 政策 的 扩充 或 细 化 (包括 本 


“ IGF * 


PCA 范围 内 密 钥 的 产生 、 密 钥 的 长 度 .证书 的 有 效 期 规定 以 及 CRL 一 一 被 吊销 的 证 书 列表 
的 管理 ) ,并 为 下 属 CA 签发 公 钥 证 书 。 

3) 认证 机 构 

CA 具有 有 限 政策 制定 权限 , 它 在 上 级 PCA 政策 范围 内 ,进行 具体 的 用 户 公 钥 证 书 的 
签发 .生成 和 发 布 以 及 CRL 的 生成 和 发 布 。 

4) 在 线 注册 机 构 

ORA 进行 证 书 申 请 者 的 身份 认证 ,向 CA 提交 证 书 申请 ,验证 接收 CA 签发 的 证 书 ,并 
将 证 书 发 放 给 申请 者 。 有 时 还 协助 进行 证 书 的 制作 。 
实验 8 证 书 制作 及 CA 系统 配置 

1. 实验 目的 


(1) 深入 理解 PKI 系统 的 工作 原理 。 

(2) 掌握 在 一 种 系统 中 配置 CA 系统 的 方法 。 
(3) 掌握 证 书 的 申请 及 制作 方法 。 

(4) 体会 SSL 的 作用 。 


2. 实验 内 容 


(1) 选择 一 个 系统 ,进行 CA 系统 的 配置 。 

(2) 为 服务 器 和 浏览 器 之 间 的 安全 通信 进行 设置 。 
(3) 为 某 些 用 户 生 成 证 书 。 

(4) 测试 上 述 通 信 的 安全 性 。 


3. 建议 环境 


(1) 利用 在 Windows 2000 Server 中 附加 的 认证 服务 器 ,进行 Windows 2000 PKI 系统 
的 配置 。 
(2) 利用 Linux 平台 上 的 SSL X. 509 或 FHS 进行 实验 。 


4. 实验 准备 


(1) 收集 资料 ,设计 在 实验 用 系统 中 进行 CA 系统 配置 的 步骤 。 
(2) 设计 在 实验 用 系统 中 进行 安全 通信 配置 的 步 又 。 
(3) 设计 为 用 户 生 成 证 书 的 方法 和 步 又 。 
(4) 设计 对 上 述 系统 配置 进行 通信 安全 测试 的 方法 和 步骤 。 
5. 推荐 的 分 析 讨 论 内容 
(1) 你 知道 有 哪些 证 书 标准 ? 
(2) 你 知道 有 哪些 通信 安全 协议 ? 试 进行 比较 。 
(3) 其 他 发 现 或 想到 的 问题 。 
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3.4 信息 系统 访问 授权 


一 个 信息 系统 当然 不 允许 非法 用 户 访问 ,即使 是 合法 用 户 ,也 不 是 就 可 以 访问 系统 的 所 
有 资源 或 者 对 系统 的 某 一 资源 进行 为 所 和 欲 为 的 访问 操作 。 系 统 访 问 控制 就 是 基于 这 种 考虑 
的 安全 机 制 。 

访问 控制 分 为 系统 访问 控制 和 网 络 访问 控制 。 

系统 访问 控制 是 从 系统 资源 安全 保护 的 角度 对 访问 进行 授权 控制 。 它 从 访问 的 角度 将 
系统 对 象 分 为 主体 (subject) 和 客体 (object) 两 类 。 主 体 也 称 访问 发 起 者 ,主要 指 用 户 、 用 户 
组 、 进 程 以 及 服务 等 ;客体 也 称 资源 ,主要 指 文件 .目录 和 计算 机 等 。 授 权 就 是 赋予 主体 一 定 
的 权限 (修改 .查看 等 ) ,赋予 客体 一 定 的 访问 属性 (如 读 、 写 ` 添 加、 执行、 发 起 连接 等 ) ,同时 
在 主体 与 客体 之 间 建 立 一 eee rg 
管理 ,确保 主体 对 客体 的 访问 是 经 过 授权 的 ,同时 要 拒绝 非 授 权 的 访问 ,以 保证 信息 的 机 密 
性 、 完 整 性 和 可 用 性 。 


3.4.1 访问 控制 的 二 元 关系 描述 


访问 控制 用 一 个 二 元 组 (控制 对 象 ,访问 类 型 ) 来 表示 。 其 中 的 控制 对 象 表示 系统 中 一 
切 需要 进行 访问 控制 的 资源 ,访问 类 型 是 指 对 于 相应 的 受 控 对 象 的 访问 控制 ,如 读 取 、 修 改 、 
删除 等 。 
访问 控制 二 元 组 有 许多 描述 形式 。 下 面 介 绍 几 种 常用 的 形式 。 


1. 访问 控制 矩阵 


访问 控制 矩阵 也 称 访问 许可 和 矩阵 , 它 用 行 表 示 客 体 , 列 表示 主体 ,在 行 和 列 的 交叉 点 上 设 
定 访问 权限 。 表 3. 1 是 一 个 访问 控制 矩阵 的 例子 。 表 中 ,一 个 文件 的 Own 权限 的 含义 是 可 以 
授予 (authorize) 或 者 撤销 (revoke) 其 他 用 户 对 该 文件 的 访问 控制 权限 。 例 如 , 张 三 对 Filel 具 
有 Own 权限 ,所 以 张 三 可 以 授予 或 撤销 李 四 和 王 五 对 Filel 的 读 (R) 和 写 (W) 权 限 。 


表 3.1 一 个 访问 控制 矩阵 的 例子 


Filel File3 


主体 
三 Own,R,W Own,R.W 
李 四 R Own:R.W WwW R 
RW R Own,R,W 


2. 授权 关系 表 


授权 关系 表 (authorization relations) 描 述 了 主体 和 客体 之 间 各 种 授权 关系 的 组 合 。 
表 3. 2 为 表 3.1 的 授权 关系 表 。 
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表 3.2 授权 关系 表 的 一 个 例子 


主体 访问 权限 客体 
张 三 Own Filel 
张 三 R Filel 
张 三 WwW Filel 
张 三 Own File3 

= R File3 
张 三 Ww File3 
李 四 R Filel 
李 四 Own File2 
李 四 R File2 
李 四 WwW File2 
本 四 Ww File3 
李 四 R File4 
2 R Filel 
玉 WwW Filel 
下 五 R File2 
王 五 Own File4 
王 五 R File4 
王 五 Ww File4 


授权 关系 表 便 于 使 用 关系 数据 库 进 行 存储 。 只 要 按照 客体 进行 排序 ,就 得 到 了 与 访问 
能 力 表 相 当 的 二 维 表 ; 按 照 主 体 进行 排序 ,就 得 到 了 与 访问 控制 表 相当 的 二 维 表 。 

例如 , 当 用 户 或 应 用 程序 试图 访问 一 个 文件 时 ,首先 需要 通过 系统 调用 打开 文件 。 在 打 
开 文 件 之 前 ,访问 控制 机 制 被 调用 。 访 问 控制 机 制 利用 访问 控制 表 、 访 问 能 力 表 或 访问 控制 
矩阵 等 ,检查 用 户 的 访问 权限 ,如 果 在 用 户 的 访问 权限 内 , 则 可 以 继续 打开 文件 ;如果 用 户 超 
出 授权 权限 , 则 访问 被 拒绝 ,产生 错误 信息 并 退出 。 


3. 访问 能 力 表 


能 力 (capability) 也 称 权 能 ,是 受 一 定 机 制 保护 的 客体 标志 ,标记 了 某 一 主体 对 客体 的 
访问 权限 : 某 一 主体 对 某 一 客体 有 无 访问 能 力 .表示 了 该 主体 能 不 能 访问 那个 客体 ;而 具有 
什么 样 的 能 力 ,表示 能 对 那个 客体 进行 一 些 什么 样 的 访问 。 它 也 是 一 种 基于 行 的 自主 访问 
控制 策略 。 图 3. 15 是 表 3. 1 所 示 的 访问 控制 矩阵 的 访问 能 力 表 表 示 。 

访问 能 力 表 人 允许 在 进程 运行 期 间 动态 地 发 放 ` 回 收 ` 删 除 或 增加 某 些 权力 ,执行 速度 比 
较 快 ,还 可 以 定义 一 些 系统 事先 不 知道 的 访问 类 型 。 此 外 ,访问 能 力 表 着 眼 于 某 一 主体 的 访 
问 权 限 , 从 主体 出 发 描述 控制 信息 ,很 容易 获得 一 个 主体 所 被 授权 可 以 访问 的 客体 及 其 权 
限 ,但 要 从 客体 出 发 获得 哪些 主体 可 以 访问 它 就 困难 了 。 目 前 使 用 访问 能 力 表 实现 的 自主 
访问 控制 系统 已 经 不 多 。 
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| 
地 四 一 一 | Filel File2 | File3 File4 
Own 
R R Ww 到 R 
Ww 
| 
王 五 一 =| Filel File2 | File4 
| 呈 
R R R 
Ww Ww 


图 3.15 访问 能 力 表 的 例子 


4. 访问 控制 表 


访问 控制 表 (Access Control List,ACL) 与 访问 能 力 表 正 好 相反 ,是 从 客体 出 发 描述 控 
制 信息 ,可 以 用 来 对 某 一 资源 指定 任意 一 个 用 户 的 访问 权限 。 这 种 方式 给 每 个 客体 建立 一 
个 ACL( 访 问 控制 表 ) ,记录 该 客体 可 以 被 哪些 主体 访问 以 及 访问 的 形式 。 它 是 一 种 基于 列 
的 自主 访问 控制 策略 。 图 3. 16 是 表 3. 1 的 访问 控制 表 表 示 。 可 以 看 出 ,每 个 ACL 包括 一 
个 ACL 头 和 零 个 或 多 个 ACE( 访 问 控制 项 )。 


Filel1 一 一 | 张 三 


R 
W 
| 
File2 一 一 地 四 
Own 
及 
W 
| 


File3 一 一 一 | 张 三 | 李 四 
| 


File4 一 一 一 李 四 平 委 
Own 
R R 
W 
六 = 


图 3.16 访问 控制 表 的 例子 
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人 ACL 的 优点 是 可 以 很 容易 地 查 出 对 某 一 特定 资源 拥有 访问 权 的 所 有 用 户 , 有 效 地 实施 
授权 管理 ,是 目前 采用 得 最 多 的 一 种 实现 形式 。Windows NT/2000/XP 的 资源 (文件 、 设 
备 .邮件 槽 .已 命名 的 和 未 命名 的 管道 进程、 线程. 事件 、 互 斥 体 、 信 号 量 . 可 等 待定 时 器 、 访 
问 令 牌 .窗口 站 、 网 络 共享 、 服 务 .注册 表 和 打印 机 等 ) 访 问 就 是 采用 这 种 方式 。 

ACL 适合 按照 对 象 进行 访问 的 操作 系统 。 但 是 使 用 ACL 进行 访问 权限 的 管理 , 仅 依 
靠 单个 主体 非常 麻烦 。 为 此 ,通常 将 用 户 按 组 进行 组 织 , 用 户 也 可 以 从 用 户 组 取得 访问 权 
限 。 在 UNIX 中 , 附 在 文件 上 的 简单 的 ACL 允许 对 用 户 、 组 和 其 他 三 类 主体 规定 基本 访问 
模式 。 


3.4.2 自主 访问 控制 与 强制 访问 控制 


资源 的 所 有 者 往往 是 资源 的 创建 者 。 大 多 数 操作 系统 支持 资源 所 有 权 的 概念 ,并 且 在 
决定 访问 控制 策略 时 考虑 资源 所 有 权 。 基 于 所 有 权 的 访问 控制 可 以 有 两 种 基本 的 策略 : 自 
主 访问 控制 (Discretionary Access Control, DAC) 和 强制 访问 控制 (Mandatory Access 
Control,MAC) 。 


1. 自主 访问 控制 策略 


自主 访问 控制 是 目前 计算 机 系统 中 应 用 最 广泛 的 一 种 策略 ,主流 操作 系统 Windows 
Server、UNIX 系统 ,以 及 防火 墙 (ACL) 等 都 是 采用 自主 型 的 访问 控制 策略 。 它 的 基本 思想 
是 ,资源 的 所 有 者 可 以 对 资源 的 访问 进行 控制 ,任意 规定 谁 可 以 访问 其 资源 ,自主 地 直接 或 
间接 地 将 权限 传 给 (分 发 给 ) 主 体 。 例 如 ,用 户 A 对 客体 O 具有 访问 权限 ,而 也 没有 。 当 和 
将 对 9 的 访问 权限 传递 给 BB 后 ,B 就 有 了 对 O 〇 的 访问 权限 。 

口令 (password) 机 制 就 是 一 种 基于 行 的 自主 访问 控制 策略 。 它 要 求 每 个 客体 都 相应 地 
有 一 个 口令 。 主 体 对 客体 进行 访问 前 ,必须 向 操作 系统 提供 该 客体 的 口令 。 采 用 这 种 机 制 
的 系统 有 IBM 公司 的 MVS 和 CDC 公司 的 MOS 等 。 

DAC 的 优点 是 应 用 灵活 与 可 扩展 ,所 以 经 常 被 用 于 商业 系统 。 其 缺点 是 ,权限 传递 很 
容易 造成 漏洞 ,安全 级 别 比 较 低 .不 太 适 合 网 络 环境 ,主要 用 于 单个 主机 。 

通常 DAC 通过 访问 控制 矩阵 来 限定 哪些 主体 针对 哪些 客体 可 以 执行 什么 操作 。 但 
是 ,目前 操作 系统 在 实现 自主 访问 控制 时 ,不 是 利用 整个 访问 控制 矩阵 ,而 是 基于 访问 控制 
和 抢 阵 的 行 或 列 来 表达 访问 控制 信息 。 这 样 就 可 以 非常 灵活 地 对 策略 进行 调整 。 


2. 强制 访问 控制 策略 


强制 访问 控制 (MAC) 也 称 系统 访问 控制 , 它 的 基本 思想 是 系统 要 “强制 ”主体 服从 访问 
控制 政策 : 系统 (系统 管理 员 ) 给 主体 和 客体 分 配 了 不 同 的 安全 属性 ,用 户 不 能 改变 自身 或 
任何 客体 的 安全 属性 , 即 不 允许 单个 用 户 确定 访问 权限 ,只 有 系统 管理 员 才 可 以 确定 用 户 或 
用 户 组 的 访问 权限 。 
MAC 主要 用 于 多 层次 安全 级 别 的 系统 (如 军事 系统 ) 中 。 它 预先 将 主体 和 客体 进行 分 
级 ,定义 出 一 些 安全 等 级 (如 高 密级 、 机 密级 、 秘 密级 、 无 密级 等 ) 并 用 对 应 的 标签 进行 标识 : 
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对 于 主体 称 作 许可 级 别 和 许可 标签 ,对 于 客体 称 作 安全 级 别 和 敏感 性 标签 。 用 户 必须 遵守 
依据 安全 策略 划分 的 安全 级 别 的 设 定 以 及 有 关 访 问 权 限 的 设 定 。 

由 于 主体 有 既定 的 许可 级 别 , 客 体 也 有 既定 的 安全 级 别 ,因此 主体 对 客体 能 否 执行 特定 
的 操作 ,取决 于 二 者 的 安全 属性 之 间 的 关系 。 例 如 对 于 信息 (文件 ?的 访问 ,可 以 定义 如 下 4 
种 关系 : 

。 下 读 (read down): 用 户 级 别 高 于 信息 级 别 的 读 操 作 。 

。 上 读 (read up): 用 户 级 别 低 于 信息 级 别 的 读 操 作 。 

。 下 写 (write down): 用 户 级 别 高 于 信息 级 别 的 写 操 作 。 

。 上 写 (write up) : 用 户 级 别 低 于 信息 级 别 的 写 操 作 。 

当 用 户 提 出 访问 请 求 时 ,系统 对 主体 和 客体 的 安全 属性 进行 比较 ,来 决定 该 主体 是 否 可 
以 对 所 请 求 的 客体 进行 访问 。 当 一 个 主体 (进程 ) 要 访问 客体 ,其 许可 标签 必须 满足 下 面 的 
条 件 : 

(1) 主体 若 要 对 客体 具有 写 访问 的 权限 , 则 其 许可 级 别 必 须 被 客体 的 安全 级 别 支 配 。 

(2) 主体 若 要 对 客体 具有 读 访 问 的 权限 , 则 其 许可 级 别 必 须 支 配 被 客体 的 安全 级 别 。 

在 典型 的 应 用 中 ,MAC 使 用 两 种 访问 控制 关系 : 上 读 / 下 写 ( 用 来 保证 数据 完整 性 ) 和 
下 读 / 上 写 ( 用 来 保证 数据 机 密 性 )。 下 读 / 上 写 相 当 于 在 一 个 层次 组 织 中 ,上 级 领导 可 以 看 
下 级 的 资料 ,而 下 级 不 能 看 上 级 的 资料 ,但 可 以 向 上 级 写 资料 ,图 3. 17 为 下 读 / 上 写 的 示 
意图 。 

MAC 比 DAC 具有 更 强 的 访问 控制 能 力 ,但 是 实现 的 工作 量 大 ,管理 不 便 , 不 够 灵活 。 

强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 例 如 ， 
系统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访 和 ES 
问 一 个 文件 组 (这 种 保护 是 强制 的 ,也 就 是 说 ,这 些 策略 不 能 
被 用 户 更 改 ) ,然后 再 针对 该 组 中 的 各 个 文件 制定 相关 的 访 
问 控 制 表 (自主 访问 控制 策略 )。 


3.4.3 基于 角色 的 访问 控制 策略 


角色 (role) 是 指 一 个 组 织 或 任务 中 的 岗位 、 职 位 或 分 工 。 
角色 需要 人 去 扮演 。 一 般 说 来 ,一 个 角色 并 非 只 有 一 人 扮演 ， a 
如 会 计 这 个 角色 往往 需要 多 个 人 ;并 且 一 个 人 可 能 会 从 事 不 同 


的 角色 。 基 于 角色 的 访问 控制 (Role-Base Access Control， 图 3.17 下 读 / 上 写 示意 
RBAC) 就 是 基于 这 样 一 种 考虑 而 提出 的 访问 控制 策略 。 dt 
稳定 性 ,这 种 授权 管理 比 针对 个 体 的 授权 管理 在 可 操作 性 和 可 管理 性 方面 都 要 强 得 多 。 

如 图 3. 18 所 示 ,角色 实际 上 是 在 主体 (用 户 ) 与 客体 之 间 引 入 的 中 间 控 制 机 制 层 。 

在 RBAC 系统 中 ,要 求 明 确 地 区 分 权限 Cauthority) 和 职责 (responsibility) 或 区 分 操作 
与 管理 ,使 二 者 互相 制约 。 

例 3.1 一 位 科 长 可 以 对 所 在 的 科 里 的 成 员 发 号 施 令 ,而 并 不 能 对 其 他 科 的 科 员 发 号 
施 令 。 因 为 从 权力 上 看 ,他 是 科 长 ,而 从 职责 上 来 说 ,他 只 是 某 一 个 科 的 科 长 ,并 非 所 有 科 的 
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图 3.18 角色 是 在 主体 与 客体 之 间 引 入 的 中 间 控 制 层 


户 3 


科 长 。 与 之 相仿 ,对 于 一 个 具有 高 密级 (0 级 ) 许 可 级 的 用 户 来 说 ,并 不 可 以 访问 所 有 安全 级 
别 为 0 级 的 资源 。 因 为 有 些 资源 不 在 他 的 职责 范围 内 。 

例 3.2 一 个 可 以 访问 某 个 资源 集合 的 用 户 , 并 不 能 进行 该 资源 集合 的 访问 授权 。 因 
为 他 没有 这 个 权限 。 

例 3.3 一 位 安全 主管 有 权 进 行 授 权 分 配 , 但 不 能 同时 具有 访问 数据 资源 的 权力 。 

由 于 实现 了 权限 与 职责 的 逻辑 分 离 ,基于 角色 的 策略 极 大 地 方便 了 权限 管理 。 例 如 ,如 
果 一 个 用 户 的 职位 发 生变 化 ,只 要 将 用 户 当 前 的 角色 去 掉 , 加 入 代表 新 职务 或 新 任务 的 角色 
即 可 。 基 于 角色 的 访问 控制 方法 还 可 以 很 好 地 描述 角色 层次 关系 ,实现 最 少 权 限 原则 和 职 
责 分 离 的 原则 ,非常 适合 在 数据 库 应 用 层 的 访问 控制 。 因 为 在 应 用 层 , 角 色 的 概念 比较 
明显 。 

角色 由 系统 管理 员 定 义 ,角色 成 员 的 增 减 也 只 能 由 系统 管理 员 执 行 ,只 有 系统 管理 员 才 
有 权 定 义 和 分 配角 色 ,并 且 授权 规则 是 强加 给 用 户 的 ,用 户 只 能 被 动 地 接受 ,不 能 自主 地 决 
定 。 但 是 ,角色 的 控制 比较 灵活 ,根据 需要 可 以 将 某 些 角色 配置 得 接近 DAC, 而 让 某 些 角色 
接近 MAC。 


实验 9 用 户 账户 管理 与 访问 权限 设置 
1. 实验 目的 


(1) 掌握 在 一 个 系统 中 进行 用 户 账 户 管理 的 方法 。 
(2) 掌握 在 一 个 系统 中 进行 访问 权限 设置 的 方法 。 


2. 实验 内 容 


(1) 在 一 个 系统 中 进行 用 户 账 户 管理 (若是 在 Linux 系统 中 , 需 考 虑 添加 批量 用 户 ) 和 
安全 设置 。 

(2) 在 一 个 系统 中 进行 访问 权限 设置 (若是 在 Windows 2000 以 上 的 系统 中 , 需 基 于 
NTFS 进行 设置 ) 。 


3. 建议 环境 


在 一 种 操作 系统 环境 (如 Linux 或 Windows) 下 设置 账号 和 访问 权限 ,进行 用 户 管理 。 
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4. 实验 示范 一 一 Windows 中 账户 和 权限 的 设置 


Windows 2000/NT 拥有 强大 的 用 户 和 组 权限 管理 功能 ,在 保护 系统 安全 方面 有 着 独特 
的 应 用 。 通 过 为 不 同 用 户 分 配 相 应 权限 ,可 以 限制 其 对 系统 重要 文件 或 目录 的 访问 ,并 以 此 
达到 保护 系统 不 受到 病毒 和 黑客 侵犯 的 功能 。 


1) Windows 中 的 账户 设置 


(1) 单 击 "我 的 电脑 ”一 控制 面板 ”, 打 开 ”* 控 制 面板 "对话 框 , 选 择 * 用 户 账 户 ”, 如 图 3. 19 
所 示 。 


控制 面板 
文件 (E) ”编辑 (E) 查看 (Z)， 收藏 (8) 工具 (I) 帮助 (8) 


He 八 引号 
了 切 扣 到 经 出 视图 Ss a 
E BD 打印 机 和 且 它 硬件 
“_ = 


请 参加 和 
二 — 
和 Windows Update 
逢 助 和 友 持 wh 
和 0 下 它 近 抽 面板 达 项 


区 添加 / 盎 除 程序 > 日 期 、 时 间 、 语 言 和 区 线 设 置 


~ 0 ) 声音 、 语 音 和 音 有 锋 设 备 畏 肋 功 密 选 项 


a 
We 性 党 和 维护 鹏 。” 安全 中 心 


图 3.19 “控制 面板 ”中 的 “用 户 账户 ” 


(2) 双击 “用 户 账户 ”, 进 入 “用 户 账户 ”窗口 ,可 以 看 到 在 “挑选 一 项 任务 …” 中 有 一 些 选 
项 ,如 图 3. 20 所 示 。 

(3) 选择 “创建 一 个 新 账户 ”, 进 入 “用 户 账户 ”窗口 中 的 “为 新 账户 起 名 ”页 面 , 可 以 为 新 
账户 起 名 ,如 图 3. 21 所 示 。 

(4) 为 新 用 户 输 入 一 个 名 称 后 , 单 击 “ 下 一 步 ” 按 钮 ,打开 “挑选 一 个 账户 类 型 "页 面 ,可 
以 为 新 用 户 选择 一 个 账户 类 型 。 图 3. 22 为 选择 “计算 机 管理 员 ” 选 项 时 的 页 面 。 

这 类 账户 的 权力 如 下 : 

。 创建、 更 改 和 删除 账户 。 

。 进行 系统 范围 的 更 改 。 

。 安装 程序 并 访问 所 有 文件 。 


a 


s 用户 帐户 


加 | 更 5 帐户 
国 晶 建 一 个 新 帐 己 


回 ] 更 站 用 户 登 录 或 注销 的 方式 
或 挑 一 个 帐户 做 更 改 


普通 
计算 机 管理 员 
密码 保护 


图 3.20 “用 户 账 户 ” 窗 口 


号 凤 | 


为 新 帐户 起 名 
为 新 帐户 键入 一 个 和 名称 上 ) 


son of « biteh 


这 个 名 称 会 出 现在 欢 


图 3.21 为 新 账户 起 名 


t 用 户 帐 户 


国 用 户 帐户 类 型 


OE OO 了 RD 


使 用 计算 机 管理 员 帐 户 ,您 可 以 
。 创建 、 更 改 和 册 除 帐户 
。 进行 系统 范围 的 更 改 
。 安装 程序 并 访问 所 有 文件 


CE CE [CE 


图 3.22 挑选 一 个 账户 类 型 计算 机 管理 员 


图 3. 23 为 选择 “ 受 限 ”账户 类 型 时 的 页 面 。 


国 用 户 帐户 类型 永 选 一 个 由 户 类 型 


在 ， 您 可 以 


。 更 改修 的 图 片 、 主 题 和 其 它 桌面 设置 
。 查看 您 创建 的 文件 
。 在 共享 文档 文件 夹 中 查看 文件 


i 根据 程序 的 不 同 ， 用 户 可 能 需要 管理 员 权限 
同样 ， 在 Windows XF 或 i 2000 rp 


正确 运行 。 为 获得 最 佳 效 果 返 有 Designed for Windows XP 籁 标的 程 
要 运行 旧 的 程序 ， 选 择 “ 计 算 机 管理 员 ” 帐 户 类 型 . 


< 上 一 步 @) [WE a] ] 取消 


图 3.23 挑选 一 个 账户 类 型 一 一 受 限 


这 类 账户 的 权力 如 下 : 

。 更改 或 删除 自己 的 密码 。 

。 更 改 自己 的 图 片 、 主 题 和 其 他 桌面 设置 。 

。 查看 自己 创建 的 文件 。 

。 在 共享 文档 文件 夹 中 查看 文件 。 

(5) 用 户 类 型 选择 后 , 单 击 “ 创 建 账 户 ” 按 钮 ,系统 进入 如 图 3. 24 所 示 的 页 面 ,提示 对 新 
建 账户 可 以 进行 的 操作 选项 。 


用户 帐户 
四 上- 沙 加 RE 
相关 任务 


更 改 另 一 个 帐户 
创建 一 个 新 帐户 


尔 想 更 改 ur son of a bitch 的 帐户 的 什 


所 ur son of a bitch 
二 i 
图 创 洼 罕 码 si 


加 更 疏 图 片 


更 疏 帐户 类 型 


出 除 帐 记 


图 3. 24 选择 对 新 建 账户 的 操作 


“= 7 * 


(6) 选择 “创建 密码 ”选项 ,进入 如 图 3. 25 所 示 的 页 面 : 在 “输入 一 个 新 密码 ”文本 框 中 
输入 密码 。 


; » a me 和 帐户 创建 一 个 密 古 
国 二 0 个 雪人 十 网 为 ur son of a bitch 的 帐户 创建 一 个 密 媚 


国 正在 创建 一 个 好 的 密码 提 修正 在 为 ur son of a bitch 也 陡 窜 码 。 如 果 黎 这 样 做 。mur son of 
示 等 关 EFS 加 密 的 文件 ，。 个 人 证 书 以 及 保存 的 网 站 让 同 络 次 


国 正在 记 住 一 个 密码 
要 防止 在 将 来 丢失 数据 ,要 求 wu son of a bitch 制作 一 张 密码 重 设 软盘 。 


输入 一 个 新 密码 


再 次 输入 密码 以 确认 


如 果 密码 包 合 大 写字 母 ， 它 们 每 次 都 必须 以 相同 的 大 小 写 方式 输入 。 
输入 一 个 单词 或 短语 作为 密码 提示 


所 有 使 用 这 人 各 计算 机 的 人 都 可 以 看 见 密码 提示 。 


图 3.25 ”为 新 账户 创建 密码 


这 样 ,以 后 再 次 启动 系统 时 ,就 会 要 求 先 输入 账号 和 密码 。 不 同 的 账户 也 可 以 把 自己 的 
私人 文档 保存 到 “我 的 文档 ”文件 夹 中 ,把 该 文件 夹 设置 为 专用 。 

2) Windows 2000/ NT 中 的 组 策略 

在 Windows 2000/NT 中 ,用 户 被 分 成 许多 组 ,组 和 组 之 间 都 有 不 同 的 权限 。 当 然 , 一 
个 组 的 用 户 和 用 户 之 间 也 可 以 有 不 同 的 权限 。 下 面 是 一 些 常 用 的 组 。 

(1) Administrators( 管 理 员 组 )。 

管理 员 可 以 执行 操作 系统 所 支持 的 所 有 功能 。Windows 2000/NT 默认 安全 设置 不 限 
制 管 理 员 对 任何 注册 表 或 文件 系统 对 象 的 访问 。 只 有 受信 任 的 人 员 才 可 以 成 为 该 组 成 员 。 

(2) Power Users( 高 级 用 户 组 )。 

在 权限 设置 中 ,这 个 组 的 权限 是 仅 次 于 Administrators 组 的 。Power Users 可 以 执行 
除了 为 Administrators 组 保留 的 任务 以 外 的 其 他 任何 操作 系统 任务 。 分 配给 Power Users 
组 的 默认 权限 允许 Power Users 组 的 成 员 修 改 整 个 计算 机 的 设置 ,但 Power Users 不 具有 
将 自己 添加 到 Administrators 组 的 权限 。 

(3) Users( 普 通用 户 组 )。 

Users 组 提供 了 一 个 最 安全 的 程序 运行 环境 ,默认 安全 设置 旨 在 禁止 该 组 的 成 员 危 及 
操作 系统 和 已 安装 程序 的 完整 性 。 系 统 对 这 个 组 赋予 的 权限 如 下 : 

。 该 组 的 用 户 可 以 运行 经 过 验证 的 应 用 程序 ,但 不 可 以 运行 大 多 数 旧 版 应 用 程序 。 

。 Users 可 以 关闭 工作 站 ,但 不 能 关闭 服务 器 。 
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。 Users 可 以 创建 本 地 组 ,但 只 能 修改 自己 创建 的 本 地 组 。 
。 Users 不 能 修改 系统 注册 表 设 置 .操作 系统 文件 或 程序 文件 ,不 允许 该 组 成 员 修 改 
操作 系统 的 设置 或 用 户 资料 。 

(4) Guests( 来 宾 组 )。 

Guests 与 普通 Users 的 成 员 有 同等 访问 权 , 但 来 宾 账 户 的 限制 更 多 。 

(5) Everyone( 所 有 的 用 户 )。 

计算 机 上 的 所 有 用 户 都 属于 这 个 组 。 

实际 上 ,还 有 一 个 组 也 很 常见 , 它 拥 有 和 Administrators 一 样 甚至 比 其 更 高 的 权限 ,但 
是 这 个 组 不 允许 任何 用 户 的 加 入 ,在 查看 用 户 组 的 时 候 , 它 也 不 会 被 显示 出 来 , 它 就 是 
System 组 。 

3) Windows 2000 的 NTFS 系统 

NTFS (New Technology File System ,新 技术 文件 系统 ) 是 Microsoft 公司 为 了 弥补 
FAT (File Allocation Table, 文 件 分 配 表 ) 系 统 的 一 些 不 足 而 推出 的 一 项 技术 ,其 最 大 的 改 
进 就 是 容错 性 和 安全 性 能 。 

基于 NTFS 卷 进行 访问 权限 设置 非常 简单 。 右 击 一 个 NTFS 卷 或 NTFS 卷 下 的 一 
目录 ,在 快捷 菜单 中 选择 “属性 ”一 “安全 ”选项 就 可 以 对 一 个 卷 或 者 一 个 卷 下 面 的 目录 进行 
权限 设置 。 这 时 会 看 到 以 下 7 种 权限 : 

。“ 完 全 控制 ”就 是 对 此 卷 或 目录 拥有 不 受 限制 的 完全 访问 , 像 Administrators 在 所 有 
组 中 的 地 位 一 样 。 选 中 了 “完全 控制 ”, 下 面 的 5 项 属性 将 被 自动 选中 。 
“修改 ” 则 像 Power Users, 选 中 了 “修改 ”, 下 面 的 4 项 属性 将 被 自动 选中 。 当 下 面 的 
任何 一 项 没有 被 选中 时 “修改 ”条件 将 不 再 成 立 。 
。“ 读 取 和 运行 ”就 是 允许 读 取 和 运行 在 这 个 卷 或 目录 下 的 任何 文件 。“ 列 出 文件 夹 目 
录 ” 和 “ 读 取 ”是 “ 读 取 和 运行 "的 必要 条 件 。 

。“ 列 出 文件 夹 目录 ”是 指 只 能 浏览 该 卷 或 目录 下 的 子 目 录 , 不 能 读 取 ,也 不 能 运行 
。“ 读 取 ” 是 指 能 够 读 取 该 卷 或 目录 下 的 数据 。 
。“ 写 入 ”就 是 能 往 该 卷 或 目录 下 写作 数据 。 
。“ 特 别 ” 则 是 对 以 上 6 种 权限 进行 细 分 。 


5. 实验 准备 
(1) 设计 在 一 个 系统 中 进行 用 户 账户 管理 的 步 又。 
(2) 设计 在 一 个 系统 中 进行 访问 权限 设置 的 步骤 。 


6. 推荐 的 分 析 讨 论 内 容 

(1) 在 一 个 共用 系统 中 ,应 当 根 据 管 理 权 限 将 系统 的 访问 权限 分 成 不 同等 级 。 请 分 析 
本 导 直 大 二 丰 击 自己 前 二 二 要 性 业 枯 及, 拓 机 二 条 纺 的 尖 生 , 比 拓 的 机 卫 关税 恨 蜂 的 人 类 
别 应 当 在 读 、 写 和 执行 3 种 访问 权限 方面 有 何 限制 ? 


(2) 其 他 发 现 或 想到 的 问题 。 
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习 


、 选 择 题 


题 


用 数字 办 法 确认 、 鉴 定 、 认 证 网 络 上 参与 信息 交流 者 或 服务 器 的 身份 是 指 


A. 接 人 控制 B. 数字 认证 


A. 身份 鉴别 是 授权 控制 的 基础 
B. 身份 鉴别 一 般 不 用 提供 双向 的 认证 


CG 
. 身份 鉴别 是 安全 服务 中 的 重要 一 环 , 以 下 关于 身份 鉴别 的 叙述 中 不 正确 的 是 。 


数字 签名 D. 防火 墙 


C. 身份 鉴别 目前 一 般 采 用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 
D. 数字 签名 机 制 是 实现 身份 鉴别 的 重要 机 制 


. 以 下 关于 CA 认证 中 心 说 法 正确 的 是 


A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 

B. CA 认证 中 心 只 负责 签名 ,不 负责 证 书 的 产生 
C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 ,并 依靠 证 书证 明 一 个 用 户 的 身份 
D. CA 认证 中 心 不 用 保持 中 立 ,可 以 随便 找 一 个 用 户 来 做 为 CA 认证 中 心 


.Kerberos 的 设计 目标 不 包括 


A. 分 类 组 织 成 组 
B. 严格 限制 数量 


记 账 D. 审计 


可 赋予 哪些 主体 访问 权利 
系统 是 否 遭 受信 侵 


访问 类 型 


' 以 避免 访问 控制 表 过 于 庞大 。 


C. 按 访问 时 间 排 序 , 删 除 长 期 没有 访问 的 用 户 


D. 不 作 任 何 限制 


. PKI 支持 的 服务 不 包括  _。 


A. 非 对 称 密 钥 技术 及 证 书 管理 
C. 对 称 密 钥 的 产生 和 分 发 


. PKI 的 主要 组 成 不 包括 。 


A. 证 书 授 权 CA B SSE 
PKI 管理 对 象 不 包括 。 
A. ID 和 口令 B. 证 书 
下 面 不 属于 PKI 组 成 部 分 的 是 
A. 证 书 主体 

C. 证 书 权 威 机 构 

PKI 能 够 执行 的 功能 是 

A. 鉴别 计算 机 消息 的 始 发 者 
C. 保守 消息 的 机 密 
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. 注册 授权 RA 


A. 认证 B. 授权 C. 
. 访问 控制 是 指 确定 以 及 实施 访问 权限 的 过 程 。 
A. 用 户 权限 BD: 
C. 可 被 用 户 访 问 的 资源 D: 
.以 下 各 项 中 对 访问 控制 影响 不 大 的 是 。 
A. 主体 身份 B. 客体 身份 Cc. 
. 为 了 简化 管理 ,通常 对 访问 者 


.目录 服务 
.访问 控制 服务 


D. 证 书 存储 库 CR 


密 钥 D. 证 书 撤销 


.使 用 证 书 的 应 用 和 系统 


.确认 计算 机 的 物理 位 置 
. 确认 用 户 具 有 的 安全 性 特权 


D. 主体 与 客体 的 类 型 


13. PKI 的 主要 理论 基础 是 。 


A. 对 称 密码 算法 B. 公 钥 密码 算法 C. 量子 密码 D. 摘要 算法 
二 、 填空 题 
1 是 验证 信息 发 送 者 是 真 的 ,而 不 是 冒充 的 ,包括 、 等 的 认证 和 识别 。 
入 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 。 
可 是 PKI 的 核心 元 素 ， 是 PKI 的 核心 执行 者 。 
三 、 问 答题 


1. 简 述 生物 特征 身份 认证 的 发 展 趋势 。 
2. 简 述 口令 可 能 会 遭受 哪些 攻击 。 
3. 假定 只 允许 使 用 26 个 字母 构造 口令 ,在 下 列 情况 下 各 可 以 构造 出 多 少 条 口令 ? 
(1) 口令 最 多 可 以 使 用 个 字符 ,n 二 4,6,8, 不 区 分 大 小 写 。 
(2) 口令 最 多 可 以 使 用 个 字符 ,n 二 4,6,8, 区 分 大 小 写 。 
4. 编写 一 个 口令 生成 程序 。 程 序 以 长 度 s( 可 以 取 s 二 8,16,32,64) 的 随机 二 进 制 种 子 作为 输入 。 
(1) 让 多 名 用 户 使 用 该 程序 生成 口令 .记录 有 多 少 人 选择 了 相同 的 事件 。 
(2) 生成 一 个 口令 并 加 密 。 然 后 让 人 通过 尝试 随机 数 种 子 的 所 有 值 进行 口令 攻击 。 事 先 要 给 定 一 个 
猜测 次 数 的 期 望 值 。 
5. 简 述 口令 可 能 会 遭受 哪些 攻击 。 
比较 动态 口令 的 3 种 实现 方式 。 
.比较 静态 口令 与 动态 口令 。 
. 在 身份 验证 中 ,可 能 会 遇 到 重 放 攻击 。 重 放 具 有 如 下 几 种 形式 : 
。 简单 的 重 放 。 攻 击 者 简单 地 复制 信息 ,经 过 一 段 时 间 后 ,再 重 放 原 来 的 信息 。 
。 重 放 不 能 被 检测 到 。 这 时 .原始 的 信息 不 能 到 达 , 只 有 重 放 信 息 到 达 目 的 地 。 
。 没有 定义 的 重 放 人 返回。 发 送 者 这 时 很 难 确定 是 发 送信 息 还 是 接收 信息 。 
请 考虑 如 何 能 确定 信息 是 不 是 重 放 的 信息 。 
9. 如 何 保护 IC 卡 的 安全 ? 
10. 请 画 出 带 有 时 间 戳 的 基于 秘密 密 钥 的 身份 验证 过 程 。 
11. 简 述 认证 机 构 的 严格 层次 结构 模型 的 性 质 。 
12. 证 书 管理 由 哪 3 个 阶段 组 成 ,每 个 阶段 包括 哪些 具体 内 容 ? 
13. 简 述 X. 509 证 书包 含 的 内 容 。 
14. 简 述 X. 509 的 双向 认证 过 程 。 
15. 叙述 基于 X. 509 的 数字 证 书 在 PKI 中 的 作用 。 
16. 在 信息 系统 内 主体 通常 指 什么 ?客体 通常 指 什么 ? 
17. 查找 资料 ,分 别 给 出 几 个 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 的 实例 。 
18. 比较 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 。 
19. 查找 资料 ,说 明 还 有 哪些 新 的 访问 控制 策略 。 


[- 品 
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第 4 章 ”网 络 安全 防护 


现代 信息 系统 都 是 在 网 络 环境 下 运行 的 。 本 章 主要 介绍 有 关 网 络 环境 的 安全 技术 。 
4.1 网 络 防火 墙 


在 建筑 群 中 ,防火 墙 (firewall, 见 图 4.1) 用 来 防止 火灾 草 延 。 在 计算 机 网 络 中 ,防火 墙 
是 设置 在 可 信任 的 内 部 网 络 和 不 可 信任 的 外 界 之 间 的 
一 道 屏障 , 阻 滞 不 希望 或 者 未 授权 的 通信 进出 内 部 网 
络 ,通过 强化 边界 控制 来 保障 内 部 的 安全 ,同时 不 妨碍 
内 部 对 外 部 的 访问 ,是 目前 实现 网 络 安全 的 最 有 效 的 措 
施 之 一 。 


4.1.1 网 络 防火 墙 概述 


1. 防火墙 的 作用 

1) 强化 网 络 安全 策略 

防火 墙 是 位 于 所 保护 网 络 边界 上 的 关口 ,可 以 过 滤 数 据 包 ,可 以 选择 符合 规则 的 服务 ， 
对 于 来 往 的 访问 进行 双向 检查 : 能 将 可 疑 访问 拒 之 门 外 , 也 能 防止 未 经 允许 的 访问 到 外 部 
网 络 。 当 然 ,这 就 要 求 无 论 是 从 内 部 到 外 部 的 、 还 是 从 外 部 到 内 部 的 访问 ,都 必须 经 过 防火 
墙 ,并 且 只 有 被 授权 的 通信 才能 通过 防火 墙 : 也 可 以 防止 内 部 信息 外 汽 。 

2) 防止 故障 蔓延 

由 于 防火 墙 具 有 双向 检查 功能 ,也 能 够 将 网 络 中 一 个 网 块 ( 也 称 网 段 ) 与 另 一 个 网 块 隔 
开 , 从 而 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 ,防止 攻击 性 故障 
草 延 。 

3) 对 网 络 访问 进行 监控 审计 和 报警 

防火 墙 位 于 网 络 的 边界 上 ,能 有 效 地 监控 内 部 网 和 外 部 网 之 间 的 一 切 活 动 。 当 所 有 的 
访问 都 经 过 防火 墙 ,防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 。 根 据 这 些 记录 :管理 人 员 就 可 
以 知晓 网 络 的 运行 状况 ,知道 网 络 是 否 受 到 了 攻击 ,是 什么 样 的 攻击 。 当 发 生 可 疑 动作 时 ， 
防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 

防火 墙 还 可 以 具有 分 析 功 能 .通过 对 有 关 记 录 的 统计 分 析 , 知 道 网 络 有 哪些 威胁 ,有 哪 
些 安全 需求 ,也 能 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防 火 墙 的 控制 是 
否 充足 。 
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图 4.1 有 防火 墙 的 民居 


4) 提供 流量 控制 (带宽 管理 ) 和 计 费 

流量 统计 建立 在 流量 控制 基础 之 上 。 通 过 对 基于 IP、 服 务 . 时 间 、 协 议 等 的 流量 进行 统 
计 , 可 以 实现 与 管理 界面 挂 接 , 并 便于 流量 计 费 。 

流量 控制 分 为 基于 IP 地 址 的 控制 和 基于 用 户 的 控制 。 基 于 IP 地 址 的 控制 是 对 通过 防 
火 墙 各 个 网 络 接口 的 流量 进行 控制 ;基于 用 户 的 控制 是 通过 用 户 登 录 来 控制 每 个 用 户 的 流 
量 , 防 止 某 些 应 用 或 用 户 占 用 过 多 的 资源 ,保证 重要 用 户 和 重要 接口 的 连接 。 

5) 实现 MAC 与 IP 地 址 的 绑 定 

MAC 与 IP 地 址 绑 定 起 来 ,主要 用 于 防止 受 控 (不 允许 访问 外 网 ?的 内 部 用 户 通过 更 换 
IP 地 址 访问 外 网 。 这 其 实 是 一 个 可 有 可 无 的 功能 。 不 过 因为 它 实 现 起 来 太 简 单 了 ,内 部 只 
需要 两 个 命令 就 可 以 实现 ,所 以 绝 大 多 数 防火 墙 都 提供 了 该 功能 。 

2. 网 络 防 火 墙 的 局 限 

1) 防火 墙 有 可 能 是 可 以 绕 过 的 

防火 墙 可 以 确定 哪些 内 部 服务 允许 外 部 访问 ,哪些 外 部 用 户 可 以 访问 所 允许 的 内 部 服 
务 ,哪些 外 部 服务 可 以 由 内 部 用 户 访 问 。 为 了 发 挥 防 火 墙 的 作用 ,出 入 的 信息 必须 经 过 防火 
墙 ,被 授权 的 信息 才能 通过 。 因 而 ,防火 墙 应 当 是 不 可 渗透 或 绕 过 的 ,但 若 防火 墙 一 旦 被 攻 
击 者 击 穿 或 绕 过 ,防火墙 将 失去 作用 。 

实际 上 ,系统 往往 会 有 缺陷 ,也 往往 会 由 于 后 门 攻击 而 留 下 一 些 漏洞 。 如 图 4. 2 所 示 ， 
如 果 内 部 网 络 中 有 一 个 未 加 限制 的 拨 出 ,内 部 网 络 用 户 就 可 以 (用 向 ISP 购买 等 方式 ) 通 过 
SLIP(Serial Line Internet Protocol, 串 行 链 路 网 际 协 议 ) 或 PPP (pointer-to-pointer 
protocol, 点 到 点 协议 ) 与 ISP 直接 连接 ,从 而 绕 过 防火 墙 。 


ISP 


图 4.2 防火 墙 的 漏洞 


由 于 防火 墙 依赖 于 口令 ,所 以 防火 墙 不 能 防范 黑客 对 口令 的 攻击 。 几 年 前 ,两 个 在 校 学 
生 编 了 一 个 简单 的 程序 ,通过 对 波音 公司 的 口令 字 的 排列 组 合 试 出 了 开启 内 部 网 的 钥匙 ,从 
网 中 搞 到 了 一 张 授 权 的 波音 公司 的 口令 表 , 将 口令 一 一 出 卖 。 所 以 美国 马里 兰州 的 一 家 计 
算 机 安全 咨询 机 构 负 责 人 诺尔 * 马 切 特 说 :“ 防 火 墙 不 过 是 一 道 较 矮 的 篇 和 斧 墙 ”黑客 像 耗 
子 一 样 , 能 从 这 道 篱 管 墙 上 的 宣 麻 中 出 人 。 这 些 帘 麻 常 常 是 人 们 无 意 中 留 下 来 的 ,甚至 包括 
一 些 对 安全 性 有 清醒 认识 的 公司 。 例 如 ,由 于 Web 服务 器 通常 处 于 防火 墙 体系 之 外 ,而 有 
些 公 司 随意 扩展 浏览 器 的 功能 ,使 之 含有 Applet 编写 工具 。 黑 客 们 便 可 以 利用 这 些 工具 销 
空子 ,接管 Web 服务 器 ,接着 便 可 以 从 Web 服务 器 出 发 渔 过 防火 墙 , 大 摇 大 摆 地 “* 回 到 ”内 
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部 网 中 ,好像 他 们 是 内 部 用 户 , 刚 刚 出 来 办 完事 又 返回 去 一 样 。 

2) 防火 墙 不 能 防止 内 部 出 卖 性 攻击 或 内 部 误 操作 

显然 , 当 内 部 人 员 将 敏感 数据 或 文件 复制 到 U 盘 等 移动 存储 设备 上 提供 给 外 部 攻击 者 
时 ,防火 墙 是 无 能 为 力 的 。 此 外 ,防火 墙 也 不 能 防范 黑客 ,黑客 有 可 能 伪装 成 管理 人 员 或 新 
职工 ,以 骗取 没有 防范 心理 的 用 户 的 口令 ,或 借用 他 们 的 临时 访问 权限 实施 攻击 。 

3) 防火 墙 不 能 防止 对 开放 端口 (服务 ) 的 攻击 

防火 墙 要 保证 服务 ,必须 开放 相应 的 端口 。 防 火 墙 要 准许 HTTP 服务 ,就 必须 开放 80 
端口 ;要 提供 MAIL 服务 ,就 必须 开放 25 端口 等 。 防 火 墙 不 能 防止 对 开放 的 端口 进行 攻 
击 , 即 不 能 防止 利用 开放 服务 流入 的 数据 攻击 ` 利 用 开放 服务 的 数据 隐蔽 隧道 的 攻击 和 对 于 
开放 服务 软件 缺陷 的 攻击 。 

4) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 

有 些 数据 表面 上 看 起 来 无 害 , 可 是 当 它们 被 邮寄 或 复制 到 内 部 网 的 主机 中 后 ,就 可 能 会 
发 起 攻击 ,或 为 其 他 和 人 侵 准备 好 条 件 。 这 种 攻击 就 称 为 数据 驱动 式 攻 击 。 防 火 墙 无 法 防御 
这 类 攻击 。 

5) 防火 墙 可 以 阻 断 攻击 ,但 不 能 消灭 攻击 源 

防火 墙 是 一 种 被 动 防卫 机 制 , 不 是 主动 安全 机 制 。Internet 上 的 各 种 攻击 源源 不 断 。 
设置 得 当 的 防火 墙 可 以 阻挡 它们 ,但 是 无 法 清除 这 些 攻击 源 。 

6) 防火 墙 有 可 能 自身 遭 到 攻击 

防火 墙 不 能 干涉 还 没有 到 达 防 火 墙 的 包 ,如果 这 个 包 是 攻击 防火 墙 的 ,只 有 已 经 发 生 了 
攻击 ,防火墙 才 可 以 对 抗 。 并 且 防 火 墙 也 是 一 个 系统 ,也 有 自己 的 缺陷 ,也 会 受到 攻击 。 这 
时 许多 防御 措施 就 会 失灵 。 


3. 防火 墙 的 种 类 


从 不 同 的 角度 ,可 以 对 防火 墙 进行 不 同 的 分 类 。 下 面 介绍 几 种 重要 的 防火 墙 分 类 。 

1) 按照 采用 的 技术 分 类 

按照 采用 的 技术 可 将 防火 墙 分 为 以 下 4 类 。 

(1) 地 址 转换 防火 墙 : 内 部 地 址 与 外 部 地 址 不 一 致 ,可 以 防止 外 部 直接 根据 地 址 进行 
攻击 。 

(2) 数据 包 过 滤 防 火 墙 : 这 种 防火 墙 主要 工作 在 IP 层 和 TCP 层 , 按 照 数据 包 的 内 容 进 
行 检查 ,按照 默认 允许 或 默认 禁止 两 种 原则 进行 过 滤 。 

(3) 代理 防火 墙 : 这 种 防火 墙 能 够 将 所 有 跨越 防火 墙 的 网 络 通 信和 链 路 分 为 两 段 ,使 得 
网 络 内 部 的 用 户 不 直接 与 外 部 的 服务 器 通信 ,可 以 避免 数据 驱动 式 攻击 。 

(4) 状态 检测 防火 墙 : 是 第 三 代 防 火 墙 技术 ,能 对 网 络 通信 的 各 层 实行 检测 。 

2) 按照 实现 形态 分 类 

按照 实现 形态 可 将 防火 墙 分 为 以 下 3 类 。 

(1) 软件 防火 墙 。 软 件 防火 墙 单 独 使 用 软件 系统 来 完成 防火 墙 功 能 ,将 软件 部 署 在 系 
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统 主 机 中 的 公共 操作 系统 上 。 它 要 占用 系统 资源 ,在 一 定 程度 上 影响 系统 性 能 。 其 一 般 用 
于 单机 系统 或 是 极 少数 的 个 人 计算 机 ,很 少 用 于 计算 机 网 络 中 ,所 以 也 称 个 人 防火 墙 。 

(2) 硬件 防火 墙 。 通 常 称 为 网 络 防火 墙 ,其 基本 原理 是 把 软件 防火 墙 戏 入 在 硬件 中 ,或 
者 说 是 在 一 台 服 务 器 上 装 了 软件 防火 墙 。 高 端的 硬件 防火 墙 不 是 将 防火 墙 软件 装 在 硬盘 
中 ,而 是 固化 在 BIOS 中 ,这 样 提高 发 包 效率 ,并 且 很 难 被 破坏 (因为 BIOS 是 ROM 存储 器 ， 
是 只 读 型 的 ) 。 

(3) 芯片 级 防火 墙 。 基 于 专门 的 硬件 平台 ,没有 操作 系统 。 专 有 的 ASIC 芯片 促使 它 
们 比 其 他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 强 ,性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen、FortiNet、Cisco 等 。 这 类 防火 墙 由 于 使 用 专用 OS( 操 作 系 统 ), 因 此 防火 墙 本 身 
的 漏洞 比较 少 , 不 过 价格 比较 高 昂 。 

3) 从 防火 墙 结构 上 分 类 

从 结构 上 可 将 防火 墙 分 为 以 下 3 类 。 

(1) 单一 主机 防火 墙 。 

(2) 路 由 器 集成 式 防火 墙 。 

(3) 分 布 式 防火 墙 。 

4) 按 防火 墙 的 应 用 部 署 位 置 分 类 

按 应 用 部 署 位 置 可 将 防火 墙 分 为 以 下 3 类 。 

(1) 边界 防火 墙 。 

(2) 个 人 防火 墙 。 

(3) 混合 防火 墙 。 

5) 按 防火 墙 性 能 分 类 

按照 性 能 可 将 防火 墙 分 为 以 下 两 类 。 

(1) 百 兆 级 防火 墙 。 

(2) 千 兆 级 防火 墙 。 


4.1.2 防火 墙 技术 之 一 一 一 网 络 地 址 转换 


网 络 地 址 转换 (Network Address Translation ,NAT) 就 是 使 用 两 套 IP 地 址 一 一 内 部 
IP 地 址 (也 称 私有 IP 地 址 ) 和 外 部 IP 地 址 (也 称 公 共 IP 地 址 ) 。 私 有 IP 地 址 是 指 内 部 网 络 
或 主机 的 IP 地 址 ,公有 IP 地 址 是 指 在 Internet 上 全 球 唯 一 的 IP 地 址 。 当 受 保 护 的 内 部 网 
连接 到 Internet 并 且 有 用 户 要 访问 Internet 时 , 它 首先 使 用 自己 网 络 的 内 部 IP 地 址 ,到 了 
NAT 后 ,NAT 就 会 从 公共 IP 地 址 集中 选 一 个 未 分 配 的 地 址 分 配给 该 用 户 , 该 用 户 即 可 使 
用 这 个 合法 的 IP 地 址 进行 通信 。 同 时 ,对 于 内 部 的 某 些 服务 器 ,如 Web 服务 器 ,网 络 地 址 
转换 器 允许 为 其 分 配 一 个 固定 的 合法 地 址 。 外 部 网 络 的 用 户 就 可 通过 NAT 来 访问 内 部 的 
服务 器 。 

NAT 可 以 缓解 IP 地 址 较 少 与 主机 数量 过 多 之 间 的 矛盾 ,可 以 用 少量 的 与 数目 较 多 的 
内 部 主机 之 间 相 互 映 射 。 由 于 它 对 外 隐藏 内 部 主机 的 私有 IP 地 址 :也 提高 了 内 部 网 络 的 安 
全 性 。 
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虽然 NAT 可 以 借助 于 某 些 代理 服务 器 来 实现 .但 考虑 到 运算 成 本 和 网 络 性 能 ,很 多 时 
候 都 是 在 路 由 器 或 防火 墙 上 实现 的 。 


1. 私有 IP 地 址 空间 


RFC(Request For Comments ,请 求 评 议 意 见 书 )1918 为 私有 网 络 预 贸 了 3 个 IP 地 址 
块 ,如 下 : 


BR 172. 16. 0.0=-172..31.255.255 

C 类 : 192.168. 0. 0 一 192. 168. 255. 255 

上 述 3 个 范围 内 的 地 址 不 会 在 Internet 上 被 分 配 , 可 以 不 必 向 ISP (Internet Service 
Provider, 因 特 网 服务 提供 商 ) 或 注册 中 心 申 请 即 可 在 公司 或 企业 内 部 自由 使 用 。 


2. 基本 NAT 与 NAPT 


NAT 技术 于 20 世纪 90 年 代 提 出 。 原 来 仅仅 进行 IP 地 址 映射 ,后 来 把 映射 范围 扩大 
到 了 端口 ,于 是 形成 两 种 NAT: 基本 NAT 和 NAPT。 

1) 基本 NAT 

基本 NAT 常 被 简称 为 NAT, 其 特点 是 仅仅 进行 内 部 IP 与 公共 IP 之 间 的 映射 ,不 进行 
端口 的 映射 。 其 特点 是 内 部 IP 与 公共 IP 具有 一 对 一 的 映射 关系 。 

基本 NAT 的 实现 有 两 种 方法 : 静态 NAT(static NAT) 和 动态 NAT(dynamic NAT) 。 

静态 NAT 指 私 有 IP 地 址 与 公共 IP 地 址 具有 固定 的 一 对 一 的 映射 关系 。 

例 4.1 假设 内 部 局 域 网 使 用 的 IP 地 址 段 为 192. 168.0. 1 一 192. 168. 0. 254 ,路 由 器 局 
域 网 端 ( 即 默认 网 关 ) 的 IP 地 址 为 192. 168. 0.1, 子 网 掩 码 为 255. 255. 255. 0。 网 络 分 配 的 
公共 IP 地 址 范围 为 61. 159. 62. 128 一 61. 159. 62. 135 ,路 由 器 在 广域网 中 的 IP 地 址 为 61. 
159. 62. 129 , 子 网 掩 码 为 255. 255. 255. 248 ,可 用 于 转换 的 IP 地 址 范围 为 61. 159. 62. 130 一 
61. 159. 62. 134。 于 是 可 以 得 到 表 4. 1 所 示 的 静态 NAT 表 。 


表 4.1 例 4.1 的 NAT 表 
内 部 本 地 IP 内 部 全 局 IP 外 部 IP 


192. 168. 0. 2 :168. 12.0 61. 159. 62. 130 


192.168.0.3 .168. 12. 3 61. 159. 62. 131 


192. 168. 0. 4 200. 168. 12. 61. 159. 62. 132 


192. 168. 0. 5 .168. 12. 61. 159. 62. 133 


192. 168.0.6 00. 168. 12. 61. 159. 62. 134 


实际 上 .NAT 就 是 内 部 本 地 地 址 与 内 部 全 局 地 址 之 间 的 转换 。 那 么 ,只 有 内 部 本 地 IP 

地 址 ,没有 内 部 全 局 IP 地 址 是 否 可 以 呢 ? 如 果 这 样 ,所 提供 的 NAT 表 只 能 用 于 内 部 主机 

对 于 外 部 的 访问 ,外 部 主机 无 法 访问 内 部 主机 。 为 了 能 让 外 部 主机 访问 内 部 主机 ,就 要 向 外 
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公布 内 部 主机 的 IP 地 址 。 但 这 样 就 失去 设置 内 部 IP 地 址 的 意义 了 。 为 每 一 台 内 部 主机 增 
加 一 个 全 局 IP 地 址 的 目的 是 让 外 部 主机 只 能 知道 这 个 外 部 地 址 ,无 法 知道 真实 的 内 部 地 
址 。 要 访问 内 部 主机 必须 经 过 防火 墙 检 查 , 从 而 为 内 部 主机 提供 了 一 层 保 护 。 当 然 , 这 时 ， 
必须 申请 与 主机 数 同样 多 的 内 部 全 局 IP 地 址 。 

动态 NAT 指 私 有 IP 地 址 与 公共 IP 地 址 具有 动态 (临时 ) 的 一 对 一 映射 关系 。 基 本 方 
法 是 将 可 用 的 全 局 地 址 集 定义 成 NAT 池 (NAT pool) 。 对 于 要 与 外 界 进行 通信 的 内 部 节 
点 ,如果 还 没有 建立 转换 映射 ,边缘 路 由 器 或 者 防火 墙 将 会 动态 地 从 NAT 池 中 选择 全 局 地 
址 对 内 部 地 址 进行 转换 。 每 个 转换 条 目 在 连接 建立 时 动态 建立 ,而 在 连接 终止 时 会 被 回收 。 
这 样 ,网 络 的 灵活 性 大 大 增强 了 ,所 需要 的 全 局 地 址 进一步 减少 .所 以 动态 NAT 适合 于 内 
部 主机 数 大 于 全 局 IP 地 址 数 的 情形 。 

动态 转换 提供 了 很 大 的 灵活 性 ,但 增加 了 网 络 管理 的 复杂 性 。 特 别 是 当 NAT 池 中 的 
全 局 地 址 被 全 部 占用 以 后 ,以 后 的 地 址 转换 的 申请 会 被 拒绝 ,所 以 内 部 主机 同时 访问 外 部 主 
机 的 数目 取决 于 申请 到 的 内 部 全 局 IP 地 址 的 数目 。 这 样 会 造成 网 络 连通 性 的 问题 ,一 般 只 
用 于 拨号 连接 或 频繁 的 远程 连接 中 。 

2) NAPT 


NAPT(Network Address Port Translation ,网 络 地 址 端口 转换 ) 不 仅 进 行 IP 地 址 映 
射 , 还 进行 TCP 或 UDP 端口 映射 , 即 进行 的 是 过 内 部 地 址 十 内 部 端口 二 与 二 外 部 地 址 十 外 
部 端口 二 之 间 的 映射 。NAPT 主要 采用 地 址 端口 转换 的 方法 进行 转换 ,即将 内 部 地 址 映射 
到 外 部 网 络 的 IP 地 址 的 不 同 端口 上 ,从 而 可 以 实现 多 对 一 的 映射 。 表 4. 2 为 一 个 NAPT 
表 的 示例 ,其 3 台 内 部 主机 共用 了 一 个 全 局 IP 地 址 。 


表 4.2 NAPT 表 的 示例 


10. 1. 1. 3 :1723 


10, 1,. 1.2:1723 212. 21. 7. 3:23 


10. 1. 1. 1 :1034 2. 21. 7. 3:23 


3. NAT 的 优 缺 点 


NAT 使 内 部 网 络 的 计算 机 就 不 可 能 直接 访问 外 部 网 络 : 通过 包 过 滤 分 析 , 若 传人 的 包 
没有 专门 指定 配置 到 NAT, 就 将 之 丢弃 。 同 时 使 所 有 内 部 的 IP 地 址 对 外 部 是 隐蔽 的 。 因 
此 ,网 络 之 外 没有 谁 可 以 通过 指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特 定 的 计算 机 发 
起 攻击 。NAT 还 可 以 使 多 个 内 部 主机 共享 数量 有 限 的 IP 地 址 。 还 可 以 启用 基本 的 包 过 滤 
安全 机 制 ， 

NAT 虽然 可 以 保障 内 部 网 络 的 安全 ,但 也 有 一 些 局 限 。 例 如 ,内 部 用 户 可 以 利用 某 些 
木马 程序 通过 NAT 做 外 部 连接 。 
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4.1.3 防火墙 技 术 之 二 一 一 代理 服务 
1. 代理 服务 器 


代理 服务 器 (proxy server) 是 用 户 计算 机 与 Internet 之 间 的 中 间 代 理 机 制 , 它 采 用 客 
户 / 服 务 器 工作 模式 。 代 理 服务 器 位 于 客户 与 Internet 上 的 服务 器 之 间 。 请 求 由 客户 端 向 
服务 器 发 起 ,但 是 这 个 请 求 要 首先 被 送 到 代理 服务 器 ;代理 服务 器 分 析 请 求 , 确 定 其 是 合法 
的 以 后 ,首先 查看 自己 的 缓存 中 有 无 要 请 求 的 数据 ,有 就 直接 传送 给 客户 端 ,否则 再 以 代理 
服务 器 作为 客户 端 向 远程 的 服务 器 发 出 请 求 ; 远 程 服务 器 的 响应 也 要 由 代理 服务 器 转交 给 
客户 端 ,同时 代理 服务 器 还 将 响应 数据 在 自己 的 缓存 中 保留 一 份 副本 ,以 备 客户 端 下 次 请 求 
时 使 用 。 图 4. 3 为 代理 服务 的 结构 及 其 数据 控制 和 传输 过 程 示 意图 。 


~ BES 


~~- 转发 __-- 
应 答 


图 4.3 代理 服务 的 结构 及 其 数据 控制 和 传输 过 程 


应 用 于 网 络 安全 的 代理 技术 ,也 是 要 建立 一 个 数据 包 的 中 转机 制 ,并 在 数据 的 中 转 过 程 
中 加 入 一 些 安全 机 制 。 

代理 技术 可 以 在 不 同 的 网 络 层次 上 进行 。 主 要 的 实现 层次 在 应 用 层 和 传输 层 , 分 别称 
为 应 用 级 代理 和 电路 级 代理 。 它 们 的 工作 原理 有 所 不 同 。 


2. 应 用 级 代理 


应 用 级 代理 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 个 关口 ,所 以 也 被 称 为 应 用 层 网 关 
Capplication level gateway)。 还 由 于 应 用 级 代理 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 堵 
墙 , 所 以 也 被 称 为 应 用 级 防火 墙 。 如 图 4.4 所 示 ,应 用 级 代理 只 有 为 特定 的 应 用 程序 安装 了 
代理 程序 代码 ,该 服务 才 会 被 支持 ,并 建立 相应 的 连接 。 显 然 , 这 种 方式 可 以 拒绝 任何 没有 
明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 和 控制 性 。 但 是 ,应 用 级 代理 没有 通用 的 安全 机 
制 和 安全 规则 描述 ,它们 通用 性 差 ,对 不 同 的 应 用 具有 很 强 的 针对 性 和 专用 性 。 

图 4. 5 为 应 用 级 代理 的 基本 工作 过 程 。 

应 用 级 代理 具体 提供 如 下 一 些 功能 。 

1) 阻 断路 由 与 URL 

代理 服务 是 一 种 服务 程序 , 它 位 于 客户 机 与 服务 器 之 间 , 完 全 阻挡 了 二 者 间 的 数据 交 
流 。 从 客户 机 来 看 ,代理 服务 器 相当 于 一 台 真 正 的 服务 器 ;而 从 服务 器 来 看 ,代理 服务 器 又 

一 台 真 正 的 客户 机 。 当 客户 机 需要 使 用 服务 器 上 的 数据 时 ,首先 将 数据 请 求 发 给 代理 服 
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图 4.4 应 用 级 代理 工作 原理 
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ww 

es 1 1 1 

一 请求 页 | | | 

一 URL 检 查 | | 

时 | | | 1 请 求 页 | 

间 | | | | 返回 页 Ea 

1 | 1 

| | 内容 过 小 一 | 
| 

| 返回 页 | | | 

上 1 1 


图 4.5 应 用 级 代理 的 基本 工作 过 程 


务 器 ,代理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ,然后 再 由 代理 服务 器 将 数据 传输 给 客 
户 机 。 由 于 外 部 系统 与 内 部 服务 器 之 间 没 有 直接 的 数据 通道 ,外 部 的 恶意 侵害 也 就 很 难 伤 
害 到 企业 内 部 网 络 系统 。 

代理 通过 侦 听 网 络 内 部 客户 的 服务 请 求 , 然 后 把 这 些 请 求 发 向 外 部 网 络 。 在 这 一 过 程 
中 ,代理 要 重新 产生 服务 级 请 求 。 例 如 ,一 个 Web 客户 向 外 部 发 出 一 个 请 求 时 ,这 个 请 求 会 
被 代理 服务 器 “拦截 ,再 由 代理 服务 器 向 目标 服务 器 发 出 一 个 请 求 。 因 此 外 部 主机 与 内 部 
主机 之 间 并 不 存在 直接 连接 ,从 而 可 以 防止 传输 层 因 源 路 由 、 分 段 和 不 同 的 服务 拒绝 造成 的 
攻击 ,确保 没有 建立 代理 服务 的 协议 不 会 被 发 送 到 外 部 网 络 。 

2) 隐藏 用 户 

应 用 级 代理 既 可 以 隐藏 内 部 IP 地 址 ,也 可 以 给 单个 用 户 授权 ,即使 攻击 者 盗用 了 一 个 
合法 的 IP 地 址 ,也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 代理 比 数据 包 过 滤 具 有 更 高 的 安全 
性 。 但 是 这 种 认证 使 得 应 用 网 关 不 透明 ,用 户 每 次 连接 都 要 受到 认证 ,这 给 用 户 带 来 许多 不 
便 。 这 种 代理 技术 需要 为 每 个 应 用 写 专门 的 程序 。 

代理 保证 所 有 内 容 都 经 过 单一 的 一 个 点 ,该 点 成 为 网 络 数据 的 一 个 检查 点 。 在 应 用 级 
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代理 提供 授权 检查 及 代理 服务 。 大 多 数 代理 软件 可 以 具有 对 过 往 的 数据 包 进 行 分 析 监 控 、 
注册 登记 、 过 滤 、 记 录 和 报告 等 功能 , 当 外 部 某 人 台 主 机 试图 访问 受 保护 网 络 时 ,必须 先 在 代理 
上 经 过 身份 认证 。 通 过 身份 认证 后 ,再 运行 一 个 专门 为 该 网 络 设计 的 程序 ,把 外 部 主机 与 内 
部 主机 连接 。 在 这 个 过 程 中 ,可 以 限制 用 户 访问 的 主机 、 访 问 时 间 及 访问 的 方式 进行 记录 、 
监控 。 同 样 , 受 保护 网 络 内 部 用 户 访问 外 部 网 时 也 需 先 登录 到 代理 上 ,通过 验证 后 , 才 可 访 
问 。 当 发 现 被 攻击 迹象 时 会 向 网 络 管理 员 发 出 警报 ,并 能 保留 攻击 痕迹 。 代 理 服务 器 的 缺 
点 是 必须 针对 客户 机 可 能 产生 的 所 有 应 用 类 型 逐一 进行 设置 ,大 大 增加 了 系统 管理 的 复杂 
性 。 此 外 ,假如 由 于 黑客 攻击 等 原因 使 代理 不 工作 时 ,对 应 的 服务 请 求 也 就 被 切断 了 。 这 也 
是 单 点 访问 的 不 足 之 处 。 

3) 提高 用 户 访 问 效 率 

代理 服务 器 起 内 容 中 转 的 作用 ,能 把 服务 器 向 用 户 提 供 的 内 容 先 保存 起 来 ,再 提供 给 用 
户 , 下 次 用 户 有 同样 请 求 时 ,就 会 只 从 服务 器 传输 改变 的 部 分 ,从 而 提高 了 用 户 访问 效率 。 


3. 电路 级 代理 


电路 级 代理 也 称 电路 层 网 关 (circuit level gateway)。 如 图 4.6 所 示 , 在 OSI 模型 中 电 
路 层 网 关 工作 在 会 话 层 , 它 维护 一 张 合 法 的 会 话 连接 表 ,进行 会 话 层 的 过 滤 。 在 TCP/IP 协 
议 栈 中 ,电路 层 网 关 在 TCP 三 次 握手 过 程 中 检查 双方 的 SYN、ASK 和 序列 号 是 否 合 乎 逻 
辑 , 依 此 判断 请 求 的 会 话 是 否 合 法 。 一 旦 认为 会 话 合法 ,就 为 双方 建立 连接 。 之 后 就 只 作为 
数据 包 的 中 转 站 ,进行 简单 的 字 节 复制 式 的 数据 包 转 接 , 不 再 进行 任何 审查 .过 滤 和 管理 。 
因此 , 受 保护 网 与 外 部 网 的 信息 交换 是 透明 的 。 


el TCP 端 口 TCP 端 口 ”三 
电路 层 网 关 
传输 层 
网 络 层 
数据 链 路 /物理 层 


图 4.6 电路 层 网 关 工 作 原 理 


处 于 安全 网 络 内 的 客户 端 可 以 事先 通知 电路 层 网 关 有 哪些 包 要 到 来 ,这 也 就 形成 了 一 
个 隐患 , 即 内 部 用 户 为 外 部 主机 设置 了 一 条 特殊 通道 。 为 此 ,电路 层 网 关 要 与 过 滤 型 防火 墙 
一 起 使 用 ,并 要 作 好 日 志 。 

4. SOCKS 协议 

1) SOCKS 协议 的 组 成 

SOCKS 协议 ( 套 接 字 协 议 ) 是 一 个 电路 层 网 关 协 议 , 它 主要 由 两 部 分 组 成 。 

(1) SOCKS 客户 程序 : 经 过 修改 的 Internet 客户 程序 。 改 造 的 目的 是 使 运行 客户 程序 
的 主机 从 与 Internet 通信 改 为 与 运行 SOCKS 代理 的 主机 通信 。 

(2) SOCKS 服务 程序 : 既 可 以 与 Internet 通信 又 可 以 与 内 部 网 络 通信 的 程序 。 
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2) SOCKS 代理 的 工作 过 程 

(1) 当 一 个 经 过 SOCKS 化 的 客户 程序 要 连接 到 Internet 时 ,SOCKS 就 会 截获 这 个 连 
接 ,将 之 连接 到 运行 SOCKS 服务 器 的 主机 上 。 

(2) 连接 建立 后 ,SOCKS 客户 程序 发 送 如 下 信息 : 

。 版 本 号 ; 

。 连接 请 求 命令 ; 

。 客户 端 端口 号 ; 

。 发 起 连接 的 用 户 名 。 

(3) 经 过 确认 后 ,SOCKS 服务 器 才 与 外 部 的 服务 器 建立 连接 。 


4.1.4 防火 墙 技术 之 三 一 包 过 滤 
1. 数据 包 及 其 结构 


在 网 络 中 传输 的 数据 是 从 应 用 程序 那里 递交 来 的 。 应 用 程序 递交 给 网 络 要 传输 的 数据 
后 ,网络 就 要 逐 层 向 下 ,转交 给 下 面 的 一 层 去 实施 ,每 交 到 下 一 层 , 就 要 按照 本 层 的 协议 要 求 
进行 一 次 打包 ,形成 不 同 协议 层 中 的 数据 包 (packet) ,直到 物理 网 络 。 图 4.7 表明 在 TCP/ 
IP 网 络 中 数据 包 的 封装 与 解 包 过 程 。 图 中 的 虚 箭 线 为 发 送 端的 数据 封装 过 程 , 实 箭 线 表示 
接收 端的 数据 解 包 过 程 。 


应 用 层 
SMTP Telnet ,FTP 包 的 封装 
上 

1 上 
传输 层 1 
TCP,UDP, ICMP [ET 全 

| 
网 络 层 1 数据 解 包 
IP 网 络 层 包 头 包 体 

1 
网 络 接口 层 1 | 
ATM,Ethernet 等 链 路 层 包头 包 体 


图 4.7 TCP/IP 网 络 中 数据 包 的 封装 与 解 包 


应 当 注 意 , 包 过 滤 是 根据 数据 包 的 特征 进行 的 :其 中 主要 根据 数据 包头 的 一 些 字 段 的 特 
征 进 行 。 由 于 不 同 的 协议 所 规定 的 包头 格式 不 同 , 因 此 在 制定 过 滤 规 则 前 ,应 当 充 分 了 解数 
据 包 的 格式 。 图 4. 8 中 列 出 了 其 他 一 些 常 用 的 数据 包 的 格式 , 供 本 书后 面 的 讨论 中 使 用 。 

下 面 介绍 这 些 数 据 包 中 可 以 体现 数据 包 特 征 的 有 关 字 段 。 

(1) 源 地 址 (Source Address) 和 目的 地 址 (Destination Address) : 它们 各 表明 数据 包 的 
源 IP 地 址 和 目的 IP 地 址 。 根 据 地 址 ,还 可 以 判断 出 数据 流 的 方向 : 是 由 外 部 网 络 流 入 内 
部 网 络 一 一 往 内 (流入 ) ,还 是 由 内 部 网 络 流入 外 部 网 络 一 一 往外 (流出 )。 

(2) 标识 符 : 是 发 送 方 分 配 的 一 个 独一无二 的 编号 ,用 于 标识 同一 数据 报 中 的 各 分 组 ， 
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版 本 头 标 长 服务 类 型 总 长 
标识 标志 片 偏 移 
生存 时 间 协议 报头 校 验 和 
源 IP 地 址 
的 IP 地 址 
IP 分 组 选项 填充 
数据 


(a) IP 分 组 格式 


UDP 源 端口 | UDP 目的 端口 | 0 ee 全 
UDP 数据 报 长 度 | ”UDP 校 验 和 类 型 码 代码 校 验 和 
UDP 数据 区 首部 其 余部 分 
2 数据 部 分 
(b) UDP 数 据 报 格式 (c) ICMP 分 组 的 格式 


图 4.8 一 些 数据 包 的 格式 


以 便 组 装 。 

(3) 源 端 口 (Source Port) 和 目的 端口 (Destination Port): 在 TCP 和 UDP 数据 包 中 ， 
源 端口 和 目的 端口 分 别 表示 本 地 通信 端口 和 异地 通信 端口 。 端 口号 是 按照 协议 类 型 分 配 
的 ,所 以 端口 号 也 表明 了 所 传输 的 数据 包 服 务 的 协议 类 型 。 

(4) 协议 (Protocol) : 在 IP 数据 包 中 光 协 议 ? 字 段 用 以 标识 接收 的 IP 分 组 中 的 数据 的 
高 层 ( 传 输 层 ) 协 议 。 高 层 协 议 号 由 TCP/IP 协议 中 央 权 威 机 构 NIC(Network Information 
Center) 分 配 ,例如 ,1 为 控制 报 文 协议 ICMP,6 为 传输 控制 协议 TCP,8 为 外 部 网 关 协 议 
EGP ,17 为 用 户 数据 报 协议 UDP ,29 为 传输 层 协议 第 4 类 ISO-TP4。 

(5) 服务 类 型 (Type of Service,ToS) : 在 IP 数据 包 中 ,ToS 描述 IP 分 组 所 希望 获得 的 
服务 质量 , 占 8 位 ,包括 如 下 几 项 : 

。 低 延 迟 .高 吞吐 量 .高 可 靠 性 ,各 占 1 位 。 

。 未 用 2 位 。 

表 4.3 列 出 了 REFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 。 


表 4.3 RFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 


应 用 程序 十 六 进 制 值 
Telnet/Rlogin Ox10 
控制 Ox10 
FTP | 数据 Ox08 
任意 块 数据 Ox08 
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应 用 程序 最 高 可 靠 性 最 小 费用 十 六 进 制 值 
TFTP 0 0 Ox10 
”| 命令 0 0 Ox10 
Ss 数据 0 0 Ox08 

UDP 查询 0 0 Ox10 
DNS | TCP 查询 0 0 Ox00 
区 域 传输 0 0 Ox08 
差错 0 0 Ox00 
ICMP | 查询 0 0 Ox00 
任何 IGP 1 0 Ox04 
SNMP 1 0 Ox04 
BOOTP 0 0 Ox00 
NNTP 0 1 Ox02 


(6) 数据 包 内 容 : 前 面 的 5 个 字段 都 来 自 数据 包头 中 ,而 数据 内 容 则 是 来 自 数据 包 体 
中 。 如 数据 内 容 中 一 些 关 键 词 可 以 代表 数据 内 容 的 某 一 方面 的 特征 。 对 数据 包 内 容 的 抽取 
将 会 形成 依据 内 容 的 包 过 滤 (packet filtering) 规 则 。 这 是 目前 包 过 滤 技 术 研 究 的 一 个 重要 
方面 。 


. 包 过 滤 安 全 策略 的 制定 


早期 的 包 过 滤 是 在 路 由 器 上 进行 的 。 通 过 对 路 由 表 的 配置 来 决定 数据 包 是 否 符合 过 滤 
规则 。 数 据 包 的 过 滤 规 则 ( 即 访问 控制 列表 ,ACL) 由 一 些 规则 人 逻辑 描述 : 一 条 过 滤 规 则 规 
定 了 允许 数据 包 流 进 或 流出 内 部 网 络 的 一 个 条 件 。 

在 制定 了 数据 包 过 滤 规 则 后 ,对 于 每 一 个 数据 包 . 路 由 器 会 从 第 一 条 规则 开始 逐条 进行 
检查 ,最 后 决定 该 数据 包 是 否 符 合 过 滤 逻 辑 。 

包 过 滤 的 核心 技术 是 安全 策略 和 过 滤 原 则 的 设计 。 其 大 致 步骤 如 下 : 

(1) 进行 安全 需求 分 析 ,确定 安全 策略 。 根 据 网 络 的 具体 情况 ,确定 需要 保护 什么 , 需 
要 提供 什么 服务 ,进一步 明确 所 允许 和 禁止 的 任务 。 

(2) 将 安全 策略 转化 为 一 个 数据 包 过 滤 规 则 表 。 过 滤 规 则 的 设计 主要 依赖 于 数据 包 中 
的 信息 : 源 地 址 、 目 标 地 址 、TCP/UDP 源 端口 号 、TCP/UDP 目的 端口 号 .标志 位 、 协 议 以 及 
内 容 等 。 

制定 包 过 滤 规 则 的 一 条 基本 原则 是 “最 小 特权 原则 ”。 从 安全 的 角度 .默认 拒绝 应 该 更 
可 靠 。 此 外 , 包 过 滤 还 有 禁 和 信和 禁 出 的 区 别 。 前 者 不 允许 指定 的 数据 包 由 外 部 网 络 流入 内 
部 网 络 ,后 者 不 允许 指定 的 数据 包 由 内 部 网 络 流 入 外 部 网 络 。 

此 外 ,在 制定 过 滤 规 则 时 ,除了 明确 禁止 和 允许 的 规则 外 ,还 应 考虑 对 明确 的 规则 没有 
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考虑 到 的 其 他 情况 的 过 滤 规 则 。 这 些 针 对 “其 他 ”情况 的 规则 称 为 默认 规则 。 默 认 规 则 可 以 
采用 如 下 原则 之 一 : 
。 默认 接受 (转发 ): 凡 未 被 禁止 的 ,就 是 允许 的 。 即 除 明 确 指定 禁止 的 数据 包 , 其 他 
都 是 允许 通过 (转发 ) 的 。 这 也 称 为 “ 黑 名 单 ” 策 略 。 
。 默认 拒绝 (丢弃 ): 凡 未 被 允许 的 ,就 是 禁止 的 。 即 除 明 确 指定 通过 的 数据 包 , 其 他 
都 是 被 禁止 (丢弃 ) 的 。 这 也 称 为 “ 白 名 单 " 策 略 。 
(3) 用 过 滤 规 则 语法 描述 过 滤 逻 辑 。 
(4) 按照 过 滤 逻 辑 对 路 由 器 进行 设置 。 


3. 路 由 器 进行 包 过 滤 的 过 程 


(1) 包 过 滤 规 则 必须 被 包 过 滤 设 备 端 口 存 储 起 来 。 应 用 于 包 的 规则 顺序 与 包 过 滤器 规 
则 的 存储 顺序 必须 相同 。 

(2) 当 包 到 达 端 口 时 ,对 包头 进行 语法 分 析 。 大 多 数 包 过 滤 设 备 只 检查 IP、TCP 或 
UDP 报头 中 的 字段 。 

(3) 按照 以 下 规则 进行 过 滤 操 作 : 

。 若 一 条 规则 阻止 包 传输 或 接收 , 则 此 包 便 不 被 允许 。 

。 若 一 条 规则 人 允许 包 传 输 或 接收 , 则 此 包 便 可 以 被 继续 处 理 。 

。 若 没有 一 条 规则 匹配 ,就 执行 默认 操作 。 

显然 ,过 滤 效 果 与 规则 的 排列 顺序 有 关 。 


4. 基于 地 址 的 数据 包 过 滤 策 略 


按照 地 址 进行 过 滤 是 最 简单 的 过 滤 方 式 , 它 的 过 滤 规 则 只 对 数据 包 的 源 地 址 .目的 地 址 
和 地 址 偏 移 量 进行 判断 ,这 在 路 由 器 上 是 非常 容易 配置 的 。 对 于 信誉 不 好 或 内 容 不宜 并 且 
地 址 确定 的 主机 ,用 这 种 策略 通过 简单 配置 就 可 以 将 之 拒 之 门 外 。 但 是 ,对 于 攻击 尤其 是 地 
址 欺骗 攻击 的 防御 ,过滤 规则 的 配置 就 要 复杂 多 了 。 下 面 分 几 种 情形 分 别 考 虑 。 

1) 针对 IP 源 地 址 欺骗 攻击 的 配置 

对 于 攻击 者 伪装 内 部 用 户 的 IP 地 址 攻击 ,可 以 按照 下 面 的 原则 配置 过 滤 规 则 : 如 果 发 
现 具 有 内 部 地 址 的 数据 包 到 达 路 由 器 的 外 部 接口 ,就 将 其 丢弃 。 

显然 ,这 种 规则 对 于 外 部 主机 冒充 另外 一 台 主 机 的 攻击 则 无 能 为 力 。 

2) 针对 源 路 由 攻击 的 配置 

攻击 者 有 时 为 了 躲 过 网 络 的 安全 设施 ,要 为 数据 包 指 定 一 个 路 由 ,这 条 路 由 可 以 使 
数据 包 以 不 期 望 路 径 到 达 目 标 。 对 付 这 种 攻击 的 过 滤 规 则 是 丢弃 所 有 含有 源 路 由 的 数 
据 包 。 

3) 针对 小 分 片 攻击 的 配置 

当 一 个 IP 包 太 长 时 ,就 要 对 其 进行 分 片 传 输 。 分 组 后 ,传输 层 的 首部 只 出 现在 IP 层 的 
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第 1 片 中 。 攻 击 者 利用 卫 分 片 的 这 一 特点 ,往往 会 建立 极 小 的 分 片 ,希望 过 滤 路 由 器 只 检 
查 第 1 片 ,而 忽略 后 面 的 分 组 。 

对 付 小 分 段 攻击 的 策略 是 丢弃 FO 为 1 的 TCP、UDP 数据 包 。 

例 4.2 某 公 司 有 一 个 B 类 网 (123. 45)。 该 网 的 子 网 (123. 45. 6. 0/24) 有 一 个 合作 网 
络 (135.79)。 管 理 员 希望 : 

(1) 禁止 一 切 来 自 Internet 的 对 内 网 的 访问 。 

(2) 允许 来 自 合 作 网 络 的 所 有 子 网 (135. 79. 0. 0/16) 访 问 内 网 (123. 45. 6.0/24)。 

(3) 禁止 对 合作 网 络 的 子 网 (135. 79. 99. 0/24) 的 访问 权 ( 对 全 网 开放 的 特定 子 网 
除外 ) 。 

为 简单 起 见 , 只 考虑 从 合作 网 络 流向 公司 的 数据 包 ,对称 地 处 理 逆 向 数据 包 只 需 互 换 规 
则 行 中 源 地 址 和 目的 地 址 即 可 。 表 4.4 为 其 网 络 ACL。 其 中 ,规则 C 是 默认 规则 。 


表 4.4 某 公 司 网 络 的 ACL 


规 则 源 地 址 目 的 地址 过 滤 操 作 
A 35. 79.0. 0/16 123. 45. 6. 0/24 人 允许 


个 35. 79. 99. 0/24 123.45. 0; 0/16 拒绝 


表 4.5 是 使 用 一 些 样本 数据 包 对 表 4.4 所 示 过 滤 规 则 的 测试 结果 。 需 要 注意 的 是 , 规 
则 的 执行 顺序 对 于 执行 结果 有 很 大 的 影响 。 
表 4.5 使 用 样本 数据 包 测 试 结 果 


数据 包 序号 目标 行为 操作 | ABC 行为 操作 | BAC 行为 操作 
1 135.79.99.1 拒绝 (B) 
可 见 , 按 ABC 的 规则 顺序 ,能 够 得 到 想 要 的 操作 结果 ;而 按 BAC 的 规则 顺序 则 得 不 到 
预期 的 操作 结果 ,原本 允许 的 数据 包 2 被 拒绝 了 。 仔 细 分 析 可 以 发 现 , 表 4. 3 中 用 来 禁止 合 
作 网 的 特定 子 网 的 访问 规则 B 是 不 必要 的 。 它 正 是 在 BAC 规则 集中 造成 数据 包 2 被 拒绝 
的 原因 。 如 果 删 除 规 则 B, 得 到 表 4. 6 所 示 的 行为 操作 。 
表 4.6 删除 规则 B 后 的 行为 操作 


数据 包 源 地 址 目的 地 址 目标 行为 操作 AcC 行为 操作 
135.79. 99.1 和 :45 二 ,二 拒绝 拒绝 (C) 


135.79. 99.1 123. 45. 6.1 允许 允许 (A) 
135. 79. 1. 1 123. 45. 6.1 允许 允许 (A) 
195,700 LL L233. 4901. 拒绝 拒绝 (C) 
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这 才 是 想 要 的 结果 。 由 此 得 出 两 点 结论 : 
(1) 正确 地 制定 过 滤 规 则 是 困难 的 。 
(2) 过 滤 规 则 的 重新 排序 使 得 正确 地 指定 规则 变 得 越发 困难 。 


5. 基于 服务 的 数据 包 过 滤 策 略 


按 服务 进行 过 滤 ,就 是 根据 TCP/UDP 的 端口 号 制定 过 滤 策 略 。 但 是 ,由 于 源 端口 是 
可 以 伪装 的 ,所 以 基于 源 端 口 的 过 滤 是 会 有 风险 的 。 同 时 还 需要 确认 内 部 服务 确实 是 在 相 
应 的 端口 上 。 下 面 进行 一 些 分 析 。 

1) 关于 外 部 服务 的 端口 号 

如 果 过 滤 规 则 完全 依赖 于 外 部 主机 的 端口 号 ,例如 允许 内 部 主机 向 外 部 服务 器 的 邮件 
发 送 服务 ,而 且 TCP 的 端口 25 就 是 常规 邮件 (STMP) 端 口 时 ,这 样 的 配置 是 安全 的 。 但 
是 , 包 过 滤 路 由 器 是 无 法 控制 外 部 主机 上 的 服务 确实 在 常规 的 端口 上 ,攻击 者 往往 会 通过 伪 
造 ,利用 端口 25 向 内 部 主机 发 送 其 他 应 用 程序 (非常 规 邮 件 ) 的 数据 包 ,建立 连接 ,进行 非 授 
权 访 问 。 这 时 ,只 能 禁止 25 端口 对 于 内 部 主机 的 访问 。 因 为 内 部 主机 对 这 个 外 部 端口 不 能 
信任 。 

2) 关于 内 部 主机 的 源 端口 号 

从 内 部 到 外 部 的 TCP/UDP 连接 中 ,内 部 主机 的 源 端 口 一 般 采 用 大 于 1024 的 随机 端 
口 。 为 此 ,对 端口 号 大 于 1024 的 所 有 返回 到 内 部 的 数据 包 都 要 允许 ,不 过 ,还 需要 辨认 端口 
号 大 于 1024 的 数据 包 中 哪些 是 伪造 的 。 

对 于 TCP 数据 包 来 说 ,可 以 通过 flag 位 辨认 哪些 是 来 自 外 部 的 连接 请 求 。 但 是 UDP 
是 无 连接 的 ,没有 这 样 的 flag 位 可 使 用 ,只 能 辨认 端口 号 。 所 以 允许 UDP 协议 对 外 访问 会 
带 来 风险 ,因为 返回 的 数据 包 上 的 端口 号 有 可 能 是 攻击 者 伪造 的 。 当 请 求 端口 和 目的 端口 
都 固定 时 ,这 个 问题 才能 解决 。 

例 4.3 表 4.7 与 表 4.8 就 是 否 考 虑 数据 包 的 源 端口 进行 对 照 。 表 4.7 所 示 的 规则 表 
由 于 未 考虑 到 数据 包 的 源 端口 ,出 现 了 两 端 所 有 端口 号 大 于 1024 的 端口 上 的 非 预 期 的 作 
用 。 而 表 4. 8 所 示 的 规则 表 考 虑 到 数据 包 的 源 端 口 ,所 有 规则 限定 在 25 号 端口 上 , 故 不 可 
能 出 现 两 端 端口 号 均 在 1024 以 上 的 端口 上 连接 的 交互 。 

表 4.7 未 考虑 源 端口 时 的 包 过 滤 规 则 


规则 方向 类 型 目的 端口 行为 操作 
A 入 TOF 25 允许 
B 出 TCP 三 1024 允许 
LS 出 TCP 站 允许 
D > TEP 三 1024 允许 
E 出 /入 任何 任何 禁 幸 


表 4.8 考虑 了 源 端口 时 的 包 过 滤 规 则 


规则 目的 端口 行为 操作 
A 25 允许 
B 三 1024 人 允许 
抽 25 允许 
D 三 1024 允许 
E 任何 对 


4.1.5 ”防火墙 技术 之 四 一 一 状态 检测 


状态 检测 Cstateful-inspection) 防 火 墙 又 叫 动态 包 过 滤 防 火 墙 ,是 第 三 代 防 火 墙 技 术 , 它 
通过 安装 在 网 关 的 软件 检查 引擎 ,在 不 影响 网 络 正常 运行 的 前 提 下 ,截获 数据 包 并 抽取 
有 关 数 据 对 网 络 的 各 层 进 行 实 时 检测 ,跟踪 每 一 个 有 效 连 接 的 状态 ,并 根据 这 些 信息 决定 对 
该 连接 是 接受 还 是 拒绝 。 这 种 技术 提供 了 高 度 安全 的 解决 方案 ,同时 具有 较 好 的 适应 性 和 
扩展 性 。 


. 静态 数据 包 过 滤 的 问题 


相对 于 状态 检测 防火 墙 而 言 ,前 面 介 绍 的 数据 包 过 滤 也 被 称 为 无 状态 数据 包 过 滤 。 因 

它 仅 单独 分 析 每 一 个 数据 包 ,不 考虑 包 内 高 层 的 信息 以 及 不 同 包 之 间 的 逻辑 关系 ,也 不 关 
心 数 据 传 输 的 状态 。 这 就 会 为 攻击 者 提供 机 会 。 

例 4.4 一 个 防火 墙 的 过 滤 规 则 为 将 目标 端口 三 1203 的 数据 包 丢 弃 。 这 样 , 一 位 攻击 
者 可 以 连续 地 发 一 系列 伪装 的 TCP ACK 包 , 每 个 包 的 端口 分 别 为 1200、1201、1202、1203、 
1204。 尽 管 这 一 系列 包 都 是 违背 TCP 协议 的 ,因为 发 起 连接 必须 是 SYN 包 , 但 防火 墙 并 不 
检测 TCP 的 标志 位 , 仅 检测 端口 号 ,阻挡 了 前 3 个 数据 包 , 放 过 了 端口 号 为 1204 的 包 。 这 
个 包 到 达 主 机 后 ,主机 依据 TCP 协议 发 现 了 问题 ,会 发 一 个 RST 包 通 知 发 送 者 终止 本 次 连 
接 。 不 过 ,这 恰 中 了 攻击 者 的 之 计 , 使 攻击 者 通过 防火 墙 对 内 部 某 主 机 进行 了 一 次 半 连 接 扫 
描 攻 击 。 


2. 状态 检测 防火 墙 的 状态 表 


状态 检测 防火 墙 也 称 为 动态 包 过 滤 防 火 墙 ,其 检测 引擎 监视 和 跟踪 每 一 个 有 效 连接 的 
状态 ,动态 地 维护 一 个 状态 信息 表 ,通过 规则 表 与 状态 表 的 共同 配合 ,对 表 中 的 各 个 连接 状 
态 因素 加 以 识别 。 下 面 分 别 介绍 为 TCP 包 和 UDP 包 建 立 状 态 表 的 方法 。 

1) TCP 包 


众所周知 ,一 个 TCP 传输 是 在 三 次 握手 之 后 进行 的 。 因 此 ,可 以 把 TCP 包 分 为 两 类 : 

握手 包 和 传输 数据 包 。 它 们 的 区 别 在 包 中 的 6 个 标志 位 上 。 当 第 一 个 带 有 SYN 标志 的 数 
据 包 经 过 防火 墙 时 ,防火 墙 会 根据 报 文 的 五 元 组 信息 ( 源 IP 地 址 、 源 端口 .目的 IP 地 址 、 目 

的 端口 .连接 状态 ) 检 查 自己 的 规则 集 , 如 果 规 则 允许 该 报 文通 过 , 则 把 该 报 文 的 五 元 组 信息 
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写 人 状态 表 并 根据 路 由 表 转 发 该 报 文 。 然 后 防火 墙 会 设置 一 个 超时 时 间 , 并 等 待 服务 器 端 
SYN/ACK 标志 位 为 一 的 报 文 过 来 ,如 果 在 超时 时 间 内 防火 墙 收 到 了 来 自 服务 器 的 SYN/ 
ACK 标志 位 置 一 的 数据 报 文 , 则 状态 表 建 立 完 成 ;如 果 在 超时 时 间 内 未 收 到 来 自 服务 器 的 
SYN/ACK 报 文 , 则 状态 表 建 立 失败 。 

表 4. 9 为 状态 检测 防火 墙 状态 表 的 一 个 实例 。 


表 4.9 状态 检测 防火 墙 状 态 表 的 一 个 实例 


源 IP 地 址 源 端口 号 目的 了 PP 地 址 目的 端口 号 连接 状态 
192. 168. 1. 100 1030 210. 9. 88. 29 80 已 建立 
192. 168. 1. 102 1031 80 已 建立 
192. 168. 1. 101 1033 25 已 建立 
192. 168. 1. 102 1035 79 已 建立 
223..48, 24. 231 1990 80 已 建立 


状态 检测 防火 墙 将 属于 同一 连接 的 所 有 包 作 为 一 个 整体 的 数据 流 看 待 ,对 于 外 部 传 来 
的 TCP 数据 包 , 首 先 检查 它 是 否 握 手包 ,如 果 是 握手 包 , 就 看 其 是 否 内 网 主机 期 待 的 包 , 是 
则 允许 ,否则 拒绝 。 如 果 不 是 握手 包 , 则 检查 状态 表 中 所 记录 的 连接 状态 ,如 果 属 于 已 经 建 
立 的 连接 , 则 允许 其 通行 ,否则 将 其 清除 。 因 此 ,与 简单 包 过 滤 相 比 , 状 态 检 测 防 火 墙 可 以 为 
包 过 滤 提 供 更 准确 的 信息 .具有 更 高 的 安全 性 ,但 也 消耗 较 多 的 计算 资源 。 状 态 检测 防火 墙 
是 一 种 基于 状态 检测 的 包 处 理 器 。 

2) UDP 包 

UDP 包 比较 简单 ,不 携带 任何 连接 或 序列 信息 ， 含 源 IP 地 址 .目的 IP 地址 、 源 端 
口号 、 目 的 端口 号 、 校 验 和 以 及 所 携带 的 数据 。 Eee UDPS 
ICMP 协议 的 交互 过 程 建立 状态 表 。 但 是 这 种 状态 表 是 以 虚 连 接 (virtual connection ) 为 基 
础 的 。 即 将 所 有 通过 防火 墙 的 UDP 分 组 均 视 为 一 个 虚 连 接 , 当 反 向 应 答 分 组 送 达 时 ,就 认 
为 一 个 虚拟 连接 已 经 建立 。 如 果 在 指定 的 一 段 时 间 内 响应 数据 包 没 有 到 达 ,连接 超时 , 则 该 
连接 被 阻塞 。 所 以 状态 检测 技术 最 适合 提供 对 UDP 协议 的 有 效 支 持 。 

3. 状态 检测 防火 墙 的 优点 

1) 更 高 的 安全 性 

实际 上 ,现在 状态 检测 防火 墙 并 非 仅 仅 抽取 和 检测 传输 层 的 有 关 数 据 , 它 工作 在 网 关 ， 
在 网 络 体系 中 处 于 数据 链 路 层 和 网 络 层 之 间 , 从 这 里 截取 数据 包 , 可 以 抽取 和 监测 各 层 的 有 
关 数 据 。 一 般 说 来 ,状态 检测 防火 墙 首 先 在 低 协 议 层 上 检查 数据 包 是 否 满足 企业 的 安全 策 
略 ,对 于 满足 的 数据 包 , 再 从 更 高 协议 层 上 进行 分 析 。 并 且 , 它 取 到 数据 包 后 ,首先 根据 安全 
策略 从 数据 包 中 提取 有 用 信息 ,保存 在 内 存 中 ;然后 将 相关 信息 组 合 起 来 ， ee 
运算 来 决定 对 数据 包 进 行 什 么 样 的 操作 : 人 允许 通过 、 拒 绝 通 过 、 认 证 连接 .加 密 数据 等 。 这 
样 安全 性 得 到 很 大 提高 。 
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2) 更 高 的 效率 

由 于 状态 检测 防火 墙 工 作 在 协议 栈 的 较 低 层 , 通 过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 ， 
而 不 需要 协议 栈 的 上 层 处 理 任何 数据 包 , 这 样 减少 了 高 层 协议 头 的 开销 ,执行 效率 提高 很 
多 。 其 次 ,状态 检测 防火 墙 不 要 求 每 个 访问 的 应 用 都 有 代理 。 第 三 ,在 这 种 防火 墙 中 ,一 旦 
一 个 连接 建立 起 来 ,就 不 用 再 对 这 个 连接 做 更 多 工作 ,系统 可 以 去 处 理 别 的 连接 。 这 些 都 使 
状态 检测 防火 墙 执行 效率 明显 提高 。 

3) 更 好 的 扩展 性 

状态 检测 防火 墙 不 像 应 用 网 关 式 防火 墙 那样 ,每 一 个 应 用 对 应 一 个 服务 程序 ,这 样 所 能 
提供 的 服务 是 有 限 的 ,而 且 当 增加 一 个 新 的 服务 时 ,必须 为 新 的 服务 开发 相应 的 服务 程序 ， 
这 样 系统 的 可 扩展 性 降低 。 状 态 检 测 防火 墙 不 区 分 每 个 具体 的 应 用 ,只 是 根据 从 数据 包 中 
提取 出 的 信息 、. 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 , 当 有 一 个 新 的 应 用 时 , 它 能 动态 产 
生 新 的 应 用 的 新 的 规则 ,而 不 用 另外 写 代 码 , 所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 

4) 配置 方便 ,应 用 范围 广 

状态 检测 防火 墙 不 仅 支 持 基 于 TCP 的 应 用 ,而 且 支 持 基 于 无 连接 协议 的 应 用 ， 
RPC、 基 于 UDP 的 应 用 (DNS、WAIS、Archie 等 ) 等 。 对 于 无 连接 的 协议 ,连接 请 求 和 应 
没有 区 别 , 包 过 滤 防 火 墙 和 应 用 网 关 对 此 类 应 用 要 么 不 支持 ,要 么 开放 一 个 大 范围 的 UDP 
端口 ,这样 暴 露 了 内 部 网 ,降低 了 安全 性 。 而 这 样 的 攻击 都 可 以 被 状态 检测 防火 墙 阻 塞 , 它 
通过 控制 无 效 连 接 的 连接 时 间 ,避免 大 量 的 无 效 连 接 占用 过 多 的 网 络 资源 ,可 以 很 好 地 降低 
DOS 和 DDoS 攻击 的 风险 。 

状态 检测 防火 墙 也 支持 RPC, 因 为 对 于 RPC 服务 来 说 ,其 端口 号 是 不 定 的 ,因此 简单 
地 跟踪 端口 号 不 能 实现 该 种 服务 的 安全 ,状态 检测 防火 墙 通过 动态 端口 映射 图 记录 端口 
号 ,为 验证 该 连接 ,还 保存 连接 状态 、 程 序号 等 ,通过 动态 端口 映射 图 来 实现 此 类 应 用 的 
安全 


4. 状态 检测 防火 墙 的 缺点 


状态 检测 防火 墙 虽 然 继 承 了 包 过 滤 防 火 墙 和 应 用 网 关 防 火 墙 的 优点 ,克服 了 它们 的 缺 
点 ,但 它 仍 只 是 检测 数据 包 的 第 三 层 信 息 ,无 法 彻底 识别 数据 包 中 大 量 的 垃圾 邮件 .广告 以 
及 木马 程序 等 。 

包 过 滤 防 火 墙 \ 网 关 代 理 防火 墙 以 及 状态 检测 防火 墙 都 有 固有 的 无 法 克服 的 缺陷 ,不 能 
满足 用 户 对 于 安全 性 的 不 断 的 要 求 , 于 是 深度 包 检 测 防火 墙 技术 被 提出 了 。 


4.1.6 ”网络 防火 墙 部 署 
1. 屏蔽 路 由 器 (screening router) 和 屏蔽 主机 (screening host) 


防火 墙 最 基本 、 也 是 最 简单 的 技术 是 数据 包 过 滤 。 过 滤 规 则 可 以 安装 在 路 由 器 上 ,也 可 
以 安装 在 主机 上 。 具 有 数据 包 过 滤 功 能 的 路 由 器 称 为 屏蔽 路 由 器 ,具有 数据 包 过 滤 功 能 的 
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主机 称 为 屏蔽 主机 。 图 4. 9 为 屏蔽 路 由 防火 墙 的 基本 结构 。 

路 由 器 是 内 部 网 络 与 Internet 连接 的 必要 设备 ,是 一 种 天然 ”的 防火 墙 , 它 除 具 有 路 由 
功能 之 外 ,还 安装 了 分 组 / 包 过 滤 ( 数 据 包 过 滤 或 应 用 网 关 ) 软 件 , 可 以 决定 对 到 来 的 数据 包 
是 否 要 进行 转发 。 这 种 防火 墙 实 现 方式 简捷 ,效率 较 高 ,在 应 用 环境 比较 简单 的 情况 下 ,能 
够 以 较 小 的 代价 在 一 定 程度 上 保证 系统 的 安全 。 但 它 也 有 许多 不 足 : 

(1) 过 滤 路 由 器 是 在 网 关 之 上 实施 包 过 滤 , 因 此 它 允 许 被 保护 网 络 的 多 台 主 机 与 
Internet 的 多 台 主 机 直接 通信 。 这 样 , 其 危险 性 便 分 布 在 被 保护 网 络 内 的 全 部 主机 以 及 多 
许 访 问 的 各 种 服务 器 上 ;服务 越 多 ,网 络 的 危险 性 也 就 越 大 。 

(2) 这 种 网 络 仅 靠 单一 的 部 件 来 保护 系统 ,一 旦 部 件 被 攻破 ,就 再 也 没有 任何 设防 了 ， 
并 且 防 火 墙 被 攻破 时 几乎 不 留 下 任何 痕迹 ,难于 发 现 已 发 生 的 攻击 。 

(3) 它 只 能 根据 数据 包 的 源 / 目 的 地 址 和 端口 等 网 络 信息 进行 判断 ,无 法 识别 基于 应 用 
层 的 恶意 侵入 ,如 恶意 的 Java 小 程序 以 及 电子 邮件 中 附带 的 病毒 。 有 经 验 的 黑客 很 容易 伪 
造 IP 地 址 骗 过 包 过 滤 型 防火 墙 ,直接 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 。 

(4) 由 于 数据 包 的 源 地 址 、 目 的 地 址 以 及 IP 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 
窃听 或 假冒 。 

(5) 数据 包 缺 乏 用 户 日 志 (log) 和 审计 信息 Caudit) ,不 具备 登录 和 报告 性 能 ,不 能 进行 
审核 管理 ,因而 过 滤 规 则 的 完整 性 难以 验证 ,所 以 安全 性 较 差 。 


2. 双 宿 主 主机 


如 图 4. 10 所 示 , 双 宿主 主机 (dual homed host, 也 称 双 穴 主 机 ) 是 至 少 有 两 个 网 络 接口 
的 主机 ,每 个 接口 有 一 块 NIC(Network Interface Card, 网 络 接口 卡 , 简 称 网 卡 , 也 叫 网 络 适 
配器 ), 各 有 一 个 IP 地 址 。 它 具有 如 下 功能 : 


屏蔽 路 由 器 十 二 


全 
| 人 


双 宿主 主机 
内 站 一 内 部 网 
图 4.9 屏蔽 路 由 防火 墙 图 4.10 双 宿主 主机 网 关 防 火 墙 


(1) 在 所 连接 的 多 个 网 络 之 间 建 立 一 个 阻塞 点 ,从 一 个 网 络 到 另 一 个 网 络 发 送 的 IP 数 
据 包 必 须 经 过 双 宿 主 主机 的 检查 。 

(2) 与 它 相 连 的 内 部 和 外 部 网 络 都 可 以 执行 由 它 所 提供 的 网 络 应 用 :如果 这 个 应 用 多 
许 的 话 ,它们 就 可 以 共享 数据 。 

这 样 就 保证 内 部 网 络 和 外 部 网 络 的 某 些 节点 之 间 可 以 通过 双 宿 主 主机 上 的 共享 数据 传 
递 信 息 , 但 内 部 网 络 与 外 部 网 络 之 间 却 不 能 直接 传递 信息 ,从 而 达到 保护 内 部 网 络 的 作用 。 

在 双 宿 主 主机 中 可 以 采用 NAT 和 代理 两 种 安全 机 制 。 如 果 Internet 上 的 一 台 计 算 机 
想 与 被 保护 网 络 (Intranet) 上 的 一 个 工作 站 通信 ,必须 先 注册 ,与 它 能 看 到 的 IP 地 址 联系 ; 
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代理 服务 器 软件 通过 另 一 块 NIC 启动 到 Intranet 的 连接 。 

双 宿 主 主机 使 用 代理 服务 器 简化 了 用 户 的 访问 过 程 , 它 将 被 保护 网 络 与 外 界 完 全 隔离 ， 
由 于 域名 系统 的 信息 不 会 通过 被 保护 系统 传 到 外 部 ,所 以 系统 的 名 字 和 IP 地 址 对 Internet 
是 隐蔽 的 ,做 到 对 用 户 全 透明 。 由 于 该 防火 墙 仍 是 由 单机 组 成 的 ,没有 安全 宛 余 机 制 ,一 且 
该 * 单 失效 点 ”出 问题 ,网 络 将 无 安全 可 言 。 


3. 堡 公主 机 


堡垒 主机 (bastion host) 有 如 下 特性 : 

(1) 它 是 专门 暴露 给 外 部 网 络 上 的 一 台 计 算 机 ,是 被 保护 的 内 部 网 络 在 外 网 上 的 代表 ， 
并 作为 进入 内 部 网 的 一 个 检查 点 。 

(2) 它 面 对 大 量 恶 意 攻击 的 风险 ,并 且 它 的 安全 对 于 建立 一 个 安全 周边 具有 重要 作用 ， 
因此 必须 强化 对 它 的 保护 ,使 风险 降 至 最 小 。 

(3) 它 通常 提供 公共 服务 ,如 邮件 服务 ,WWW 服务 .FTP 服务 和 DNS 服务 等 。 

(4) 堡 驹 主机 与 内 部 网 络 是 隔离 的 。 它 不 知道 内 部 网 络 上 的 其 他 主机 的 任何 系统 细 
节 , 如 内 部 主机 的 身份 认证 服务 和 正在 运行 的 程序 的 细节 。 这 样 , 对 堡垒 主机 的 攻击 不 会 玖 
及 内 部 网 络 。 

所 以 ,保佑 主机 是 一 个 被 强化 的 .被 暴露 在 被 保护 网 络 外 部 的 、. 可 以 预防 进攻 的 计算 机 。 

堡垒 主机 防火 墙 可 以 分 为 单 连 点 和 双 连 点 两 种 结构 。 

1) 单 连 点 堡垒 主机 过 滤 式 防火 墙 

单 连 点 堡垒 主机 过 滤 式 防火 墙 有 图 4. 11 所 示 的 结构 。 它 实现 了 网 络 层 安全 ( 包 过 滤 ) 
和 应 用 层 安 全 (代理 ) ,具有 比 单纯 包 过 滤 更 高 的 安全 等 级 。 


= | 
信息 服务 器 ”内 部 主机 


图 4.11 单 连 点 堡垒 主机 过 滤 式 防火 墙 


在 该 系统 中 , 堡 公 主机 被 配置 在 过 滤 路 由 器 的 后 方 , 并 且 过 滤 规 则 的 配置 使 得 外 部 主机 
只 能 访问 堡 人 又 主机 :发 往 内 部 网 的 其 他 业务 流 则 全 部 被 阻塞 。 对 于 内 部 主机 来 说 ,由 于 内 部 
主机 和 堡垒 主机 同 在 一 个 内 部 网 络 上 ,所 以 机 构 的 安全 策略 可 以 做 出 以 下 决定 : 是 内 部 系 
统 人 允许 直接 访问 外 部 网 ,还 是 要 求 使 用 配置 在 堡垒 主机 上 的 代理 服务 。 当 配置 路 由 器 的 过 
滤 规 则 使 其 仅仅 接收 来 自 堡垒 主 机 的 内 部 业务 流 时 ,内 部 用 户 就 不 得 不 使 用 代理 服务 。 

主机 过 滤 防 火 墙 具有 双重 保护 ,从 外 网 来 的 访问 只 能 到 达 堡 又 主机 ,而 不 允许 访问 被 保 
护 网 络 的 其 他 资源 ,有 和 较 高 的 安全 可 靠 性 。 并 且 主 机 过 滤 网 关 能 有 选择 地 人 允许 那些 可 以 信 
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赖 的 应 用 程序 通过 路 由 器 ,是 一 种 非常 灵活 的 防火 墙 。 但 是 它 要 求 考 虑 到 堡 允 主机 和 路 由 
器 两 个 方面 的 安全 性 。 如 果 路 由 器 中 的 访问 控制 表 允 许 某 些 访问 通过 路 由 器 , 则 防火 墙 管 
理 员 不 仅 要 管理 堡垒 主机 中 的 访问 控制 表 , 而 且 要 管理 路 由 器 中 的 访问 控制 表 , 并 要 求 对 这 
两 个 部 件 仔细 配置 以 便 它 们 能 协调 工作 。 此 外 ,系统 的 灵活 性 也 会 导致 走 捷 径 ( 例 如 用 户 可 
能 试图 避 开 代理 服务 器 直接 与 路 由 器 建立 联系 ) 而 破坏 安全 性 。 

2) 双 连 点 堡垒 主机 过 滤 式 防火 墙 

双 连 点 堡垒 主机 过 滤 式 防火 墙 有 图 4. 12 所 示 的 结构 。 它 比 单 连 点 堡垒 主机 过 滤 式 防 
火 墙 有 更 高 的 安全 等 级 。 由 于 堡 公 主机 具有 两 个 网 络 接口 ,除了 外 部 用 户 可 以 直接 访问 信 
息 服 务 器 外 ,外 部 用 户 发 往 内 部 网 络 的 业务 流 和 内 部 系统 对 外 部 网 络 的 访问 都 不 得 不 经 过 
堡垒 主机 ,以 提高 附加 的 安全 性 。 


信息 服务 器 内 部 主机 / 
内 部 网 
图 4.12 双 连 点 堡垒 主 机 过 滤 式 防火 墙 


在 这 种 系统 中 ,由 于 堡垒 主机 成 为 外 部 网 络 访问 内 部 网 络 的 唯一 人 口 , 所 以 对 内 部 网 络 
的 可 能 安全 威胁 都 集中 到 了 堡垒 主机 上 。 因 而 对 堡垒 主机 的 保护 强度 关系 到 整个 内 部 网 的 
安全 。 


4. 屏蔽 子 网 防火 墙 


屏蔽 子 网 Cscreened subnet) 防 火 墙 是 在 被 保护 网 络 和 Internet 之 间 设 置 一 个 独立 的 子 
网 作为 防火 墙 。 具 体 的 配置 方法 是 在 过 滤 主 机 的 配置 上 再 加 上 一 个 路 由 器 ,形成 具有 外 部 
路 由 过 滤器 .内 部 路 由 过 滤器 和 应 用 网 关 3 道 防线 的 过 滤 子 网 :如 图 4. 13 所 示 。 


和 es > > 
1 
外 部 路 由 器 a 内 部 路 由 器 \L 
信息 服务 器 


图 4.13 子 网 过 滤 防 火 墙 配 置 


在 屏蔽 子 网 防火 墙 中 ,外 部 过 滤 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 
由 攻击 ) ,并 管理 外 部 网 到 过 滤 子 网 的 访问 。 外 部 系统 只 能 访问 到 堡垒 主机 ,通过 堡垒 主机 
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向 内 部 网 络 传送 数据 包 。 内 部 过 滤 路 由 器 管理 过 滤 子 网 与 内 部 网 络 之 间 的 访问 ,内 部 系 
统 也 只 能 访问 到 堡 人 又 主机 ,通过 堡垒 主机 向 外 部 网 络 发 送 数据 包 。 人 简单 地 说 ,任何 跨越 
子 网 的 直接 访问 都 是 被 严格 禁止 的 ,从 而 在 两 个 路 由 器 之 间 定 义 了 一 个 “ 非 军事 区 ”(De- 
Militarized Zone,DMZ) ,表明 内 部 网 络 举例 外 部 网 络 更 远 , 更 安全 。 这 种 配置 的 防火 墙 具 
有 最 高 的 安全 性 ,但 是 它 要 求 的 设备 和 软件 模块 较 多 ,价格 较 贵 , 且 相 当 复 杂 。 


4.2 网 络 的 物理 隔离 技术 


4.2.1 物理 隔离 的 概念 
1. 问题 的 提出 


20 世纪 末期 ,“ 政 府 上 网 ”热潮 把 我 国 的 信息 化 带 进 了 一 个 新 的 高 度 。 政 府 上 网 不 仅 表 
明 Internet 已 经 进入 了 一 个 非常 重要 的 领域 ,而 且 为 信息 系统 安全 技术 提出 了 新 的 课题 。 
政府 中 有 许多 敏感 的 数据 以 及 大 量 机 密 数 据 , 也 有 最 为 国民 关心 的 信息 。 目 前 虽然 开发 了 
各 种 防火 墙 、 病 毒 防治 系统 以 及 入 侵 检测 、 安 全 预警 .漏洞 扫描 等 安全 技术 ,但 却 并 没有 完全 
阻止 人 侵 , 内 部 网 络 被 攻破 的 事件 屡 有 发 生 , 据 统计 有 近 半 数 的 防火 墙 被 攻破 过 。 为 此 , 国 
家 保密 局 2000 年 1 月 1 日 起 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规定 ) 第 二 章 第 六 
条 要 求 :“ 涉 及 国家 机 密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信 
息 网 络 相 联接 ,必须 实行 物理 隔离 。” 

学 术 界 一 般 认 为 ,最 早 提出 物理 隔离 技术 的 是 以 色 列 和 美国 的 军 方 , 主 要 用 以 解决 涉 密 
网 络 与 公共 网 络 连 接 时 的 安全 。 我 国 也 有 庞大 的 政府 涉 密 网 络 和 军事 涉 密 网 络 , 但 是 我 国 
的 涉 密 网 络 与 公共 网 络 ,特别 是 与 Internet 无 任何 关联 的 独立 网 络 ,不 存在 与 Internet 的 信 
息 交 换 , 也 用 不 着 使 用 物理 隔离 网 闻 解 决 信息 安全 问题 。 所 以 ,在 电子 政务 .电子 商务 之 前 ， 
物理 隔离 网 闸 在 我 国 因 无 市 场 需求 ,产品 和 技术 发 展 较 慢 。 

随 着 我 国信 息 化 建设 步伐 的 加 快 , 电 子 政务 的 急速 展开 ,物理 隔离 的 问题 才 突出 地 提 到 
议事 日 程 上 来 ,成 为 我 国信 息 安全 产业 发 展 的 一 个 新 的 增长 点 。2002 年 8 月 15 日 《国家 
信息 化 领导 小 组 关于 我 国电 子 政 务 建设 的 指导 意见 兴 中 办 17 号 文件 ) 提 出 了 “十 五 ”期 间 我 
国电 子 政务 建设 的 主要 任务 之 一 是 :“ 建 设 和 整合 统一 的 电子 政务 网 络 。 为 适应 业务 发 展 
和 安全 保密 的 要 求 .有 效 遏 制 重复 建设 ,要 加 快 建设 和 整合 统一 的 网 络 平台 。 电 子 政务 网 络 
由 政务 内 网 和 政务 外 网 构成 ,两 网 之 间 物 理 隔离 ,政务 外 网 与 Internet 之 间 逻 辑 隔离 。 政 务 
内 网 主要 是 副 省 级 以 上 政务 部 门 的 办 公 网 ,与 副 省 级 以 下 政务 部 门 的 办 公 网 物理 隔离 。 政 
务 外 网 是 政府 的 业务 专 网 ,主要 运行 政务 部 门面 向 社会 的 专业 性 服务 业务 和 不 需 在 内 网 上 
运行 的 业务 。 要 统一 标准 .利用 统一 平台 ,促进 各 个 业务 系统 的 互联 和 互通、 资源 共享 。 要 用 
一 年 左右 的 时 间 ,基本 形成 统一 的 电子 政务 内 外 网 络 平台 ,在 运行 中 逐步 完善 .” 

简单 地 说 ,如 图 4. 14 所 示 ,政务 网 应 当 跨 越 公 网 `. 外 网 和 内 网 。 其 安全 要 求 如 下 : 

。 在 公 网 和 外 网 之 间 实 行 逻 辑 隔离 ; 

。 在 内 网 和 外 网 之 间 实 行 物 理 隔离 。 
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逻辑 隔离 物理 隔离 


图 4.14 电子 政务 的 三 网 


2. 物理 隔离 的 术语 及 其 理解 


但 是 到 目前 为 止 ,并 没有 完整 的 关于 物理 隔离 技术 的 定义 和 标准 。 从 不 同时 期 的 用 词 
也 可 以 看 出 ,物理 隔离 技术 一 直 在 演变 和 发 展 。 

较 早 的 用 词 为 Physical Disconnection。Disconnection 有 使 断 开 、 切 断 、 不 连接 的 意思 ， 
直译 为 物理 断 开 。 这 是 在 还 没有 解决 涉 密 网 与 Internet 连接 后 出 现 的 很 多 安全 问题 的 技术 
手段 之 前 的 说 法 ,在 无 可 奈何 的 情况 下 ,只 有 先 断 开 再 说 。 

后 来 使 用 了 词汇 Physical Separation。 Separation 有 分 开 、 分 离间 隔 和 距离 的 意思 , 直 
译 为 物理 分 开 。 

但 是 光 分 开 不 是 办 法 ,理智 的 策略 应 当 是 为 该 联 即 联 , 不 该 联 则 不 联 。 为 此 要 把 该 联 的 
部 分 与 不 该 联 的 部 分 分 开 。 于 是 有 了 Physical Isolation。Isolation 有 孤立 、 隔 离 、 封 闭 、 绝 
缘 的 意思 ,直译 为 物理 封闭 。 

事实 上 ,没有 与 Internet 相 联 的 系统 不 多 ,因此 ,希望 能 将 一 部 分 高 安全 性 的 网 络 隔离 
封闭 起 来 。 于 是 开始 使 用 Physical Gap。Gap 有 和 夫 口 、 裂 口 . 缺 口 和 差异 的 意思 ,直译 为 物 
理 隔 离 , 意 为 通过 制造 物理 的 豁口 来 达到 隔离 的 目的 。 

由 于 Physical 这 个 词 显 得 非常 僵硬 ,于 是 有 人 用 Air Gap 来 代替 Physical Gap。 Air 
Gap 意 为 空气 家 口 ,很 明显 在 物理 上 是 隔 开 的 。 但 有 人 不 同意 ,理由 是 空气 豁口 就 "物理 隔 
离 ” 了 吗 ? 电磁 辐射 、 无 线 网 络 卫星 等 都 是 空气 家 口 , 却 没 有 物理 隔离 ,甚至 连 逻 辑 上 都 没 
有 隔离 。 于 是 ,E-Gap、Netgap、I-Gap 等 都 出 来 了 。 现 在 ,一 般 称 Gap Technology, 意 为 物 
理 隔 离 ,成 为 Internet 上 的 一 个 专用 名 词 。 


3. 对 物理 隔离 的 要 求 及 其 理解 


物理 隔离 要 求 内 部 网 络 与 外 部 网 络 在 物理 上 没有 相互 连接 的 通道 ,两 个 系统 在 物理 上 完 
全 独立 。 要 实现 公众 信息 网 (外 部 网 ) 与 内 部 网 络 物理 隔离 的 目的 ,必须 保证 做 到 以 下 几 点 : 

(1) 在 物理 传导 上 使 内 外 网 络 隔 断 ,确保 外 部 网 不 能 通过 网 络 联接 而 侵入 内 部 网 ;同时 
防止 内 部 网 信息 通过 网 络 联接 泄漏 到 外 部 网 。 

(2) 在 物理 辐射 上 隔断 内 部 网 与 外 部 网 ,确保 内 部 网 信息 不 会 通过 电磁 辆 射 或 耦合 方 
式 泄漏 到 外 部 网 。 

(3) 在 物理 存储 上 隔断 两 个 网 络 环境 ,对 于 断 电 后 会 锡 失 信息 的 部 件 , 如 内 存 、 处 理 器 
等 暂 存 部 件 .要 在 网 络 转换 时 作 清 除 处 理 , 防 止 残留 信息 串 网 ;对 于 断 电 非 逸 失 性 设备 ,如 磁 
带 机 硬盘 等 存储 设备 ,内 部 网 与 外 部 网 信息 要 分 开 存储 。 
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具体 地 说 ,对 物理 隔离 的 理解 表现 为 以 下 几 个 方面 。 

。 阻 断 网 络 的 直接 连接 , 即 没有 两 个 网 络 同时 连 在 隔离 设备 上 。 

。 阻 断 网 络 的 Internet 逻辑 连接 , 即 TCP/IP 的 协议 必须 被 剥离 ,将 原始 数据 通过 P2P 
的 非 TCP/IP 连接 协议 透 过 隔离 设备 传递 。 

。 隔离 设备 的 传输 机 制 具有 不 可 编程 的 特性 ,因此 不 具有 感染 的 特性 。 

。 任何 数据 都 通过 两 级 移动 代理 的 方式 来 完成 ,两 级 移动 代理 之 间 是 物理 隔离 的 。 

。 隔离 设备 具有 审查 的 功能 。 

。 隔离 设备 传输 的 原始 数据 不 具有 攻击 或 对 网 络 安全 有 害 的 特性 。 就 像 txt 文本 不 会 
有 病毒 也 不 会 执行 命令 等 一 样 。 

。 强大 的 管理 和 控制 功能 。 


4. 数据 隔离 与 网 络 隔 离 


从 隔离 的 内 容 看 ,隔离 分 为 数据 隔离 和 网 络 隔 离 : 

(1) 数据 隔离 主要 是 指 存储 设备 的 隔离 一 一 一 个 存储 设备 不 能 被 几 个 网 络 共 享 。 
(2) 网 络 隔 离 就 是 把 被 保护 的 网 络 从 公开 的 、 无 边界 的 、 自 由 的 环境 中 独立 出 来 。 
只 有 实现 了 上 述 两 种 隔离 , 才 是 真正 意义 上 的 物理 隔离 。 


5. 逻辑 隔离 部 件 与 物理 隔离 部 件 


物理 隔离 与 逻辑 隔离 有 很 大 的 不 同 。 物 理 隔离 的 哲学 是 不 安全 就 不 联网 ,要 绝对 保证 
安全 ;逻辑 隔离 的 哲学 是 在 保证 网 络 正常 使 用 的 情况 下 尽 可 能 安全 。 在 技术 上 ,实现 逻辑 隔 
离 的 方式 有 很 多 ,但 主要 是 防火 墙 。 

中 华人 民 共 和 国 公 安 部 2001 年 12 月 24 日 发 布 (2002 年 5 月 1 日 实施 ) 的 《 端 设备 部 件 
安全 技术 要 求 》(GA 370 一 2001) 指 出 : 

(1) 物理 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 (至 少 应 包括 硬 
盘 .软盘 和 光盘 ) ,计算 机 数据 不 能 被 重用 (至 少 应 包括 内 存 ) 。 

(2) 逻辑 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 ,只 能 进行 隔离 
器 内 外 的 原始 应 用 数据 交换 。 

(3) 单 向 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 (至 少 应 包括 硬 
盘 / 硬 盘 分 区 .软盘 和 光盘 ) ,计算 机 数据 不 能 被 重用 (至 少 应 包括 内 存 )。 

(4) 逻辑 隔离 部 件 应 保证 其 存在 泄露 网 络 资源 的 风险 不 得 多 于 开发 商 的 评估 文档 中 所 
提 及 的 内 容 。 

(5) 逻辑 隔离 部 件 的 安全 功能 应 保证 在 进行 数据 交换 时 数据 的 完整 性 。 

(6) 逻辑 隔离 部 件 的 安全 功能 应 保证 隔离 措施 的 可 控 性 ,隔离 的 安全 策略 应 由 用 户 进 
行 控 制 ,开发 者 必须 提供 可 控 方法 。 

(7) 单 向 隔离 部 件 使 数据 流 无 法 从 专 网 流向 外 网 ,数据 流 能 在 指定 存储 区 域 从 公 网 流 
向 专 网 ;对 专 网 而 言 , 还 能 使 用 外 网 的 某 些 指定 的 导入 数据 。 

图 4. 15 为 使 用 物理 隔离 部 件 和 单 向 隔离 部 件 进 行 连接 的 示意 图 。 

目前 物理 隔离 技术 主要 包括 网 络 安全 隔离 卡 、 隔 离 集线器 和 网 闸 3 种 。 
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(a) 用 物理 隔离 部 件 连接 (b) 用 单 向 隔离 部 件 连接 


图 4.15 物理 隔离 部 件 和 单 向 隔离 部 件 的 连接 示意 图 


4.2.2 网 络 安全 隔离 卡 


网 络 安全 隔离 卡 是 一 种 用 户 级 物理 隔离 技术 ,其 基本 原理 是 在 计算 机 中 使 用 两 个 独立 
的 硬盘 ,或 将 一 个 硬盘 分 割 成 两 个 独立 的 物理 区 : 

(1) 安全 区 ,只 与 内 部 网 络 连接 。 页 六 

(2) 公共 区 ,只 与 外 部 网 络 连接 。 | 

如 图 4. 16 所 示 , 网 络 安全 隔离 卡 就 像 一 个 分 
接 开 关 , 在 IDE 硬件 层 上 ,由 固件 控制 磁盘 通道 ， 
任何 时 刻 计算 机 只 能 与 一 个 数据 分 区 以 及 相应 的 el 
网 络 连通 。 于 是 计算 机 也 因此 被 分 为 安全 模式 和 图 4.16 网 络 安全 隔离 卡 的 工作 方式 
公共 模式 ,并 且 某 一 时 刻 只 可 以 在 一 个 模式 下 工 
作 。 两 个 模式 转换 时 ,所 有 的 临时 数据 都 会 被 彻底 删除 。 

(1) 在 安全 状态 时 ,主机 只 能 使 用 硬盘 的 安全 区 与 内 网 连接 ,此 时 外 网 是 断 开 的 ,硬盘 
的 公共 区 也 是 封闭 的 ， 

(2) 在 公共 状态 时 ,主机 只 能 使 用 硬盘 的 公共 区 与 外 网 连接 ,此 时 与 内 网 是 断 开 的 , 且 
硬盘 的 安全 区 是 封闭 的 。 

两 个 状态 各 有 自己 独立 的 操作 系统 ,并 分 别 导 入 ,保证 两 个 硬盘 不 会 同时 被 激活 。 两 个 
分 区 不 可 以 直接 交换 数据 ,但 是 可 以 通过 专门 设置 的 中 间 功 能 区 进行 ,或 通过 设置 的 安全 通 
道 使 数据 由 公共 区 向 安全 区 转移 (不 可 逆向 )。 

在 安全 区 及 内 网 连接 状态 下 可 以 禁用 软驱 光驱 等 移动 存储 设备 ,防止 内 部 数据 泄密 。 
要 转换 到 公共 环境 时 , 须 进 行 如 下 操作 : 

(1) 按 正常 方式 退出 操作 系统 。 

(2) 关闭 计算 机 。 

(3) 将 安全 硬盘 转换 为 公共 硬盘 。 

(4) 将 S/P 开关 转换 到 公共 网 络 。 

当然 ,这 些 操作 是 由 网 络 安全 隔离 卡 自动 完成 的 。 为 了 便于 用 户 从 Internet 上 下 载 数 
据 , 特 设 硬盘 数据 交换 区 ,通过 读 写 控 制 只 允许 数据 从 外 网 分 区 向 内 网 分 区 单 向 流动 。 

图 4. 17 为 一 种 客户 端 物理 隔离 系统 的 解决 方案 。 


“ 206“ 


隔离 卡 。 隔离 卡 ”客户 机 。 隔离 卡 ”客户 机 
图 4.17 一 种 客户 端 物理 隔离 系统 解决 方案 


4.2.3 隔离 集线器 技术 


如 图 4. 18 所 示 ,网 络 安全 集线器 是 一 种 多 路 开关 切换 设备 。 它 与 网 络 安全 隔离 卡 配合 
使 用 ,并 通过 对 网 络 安全 隔离 卡 上 发 出 的 特殊 信号 的 检测 ,识别 出 所 连接 的 计算 机 ,自动 将 
其 网 线 切换 到 相应 的 网 络 的 Hub 上 ,从 而 实现 多 台独 立 的 安全 计算 机 与 内 、 外 两 个 网 络 的 
安全 连接 与 自动 切换 。 

内 网 Hub 隔离 集线器 


EEC 


岂 
浴 | 必 
多 | 办 


外 网 aap 控制 信号 
图 4.18 网 络 安 全 隔离 集线器 的 工作 原理 
如 果 没 有 检测 到 来 自 网 络 安全 隔离 卡 的 信号 ,两 个 网 络 都 会 被 切断 。 这 样 减少 了 安全 
区 的 工作 站 被 错误 地 连 人 未 分 类 网 络 的 风险 。 
注意 ,隔离 集线器 只 有 与 其 他 隔离 措施 ,如 物理 隔离 卡 等 相配 合 , 才 能 实现 真正 的 物理 
隔离 。 如 果 只 切换 内 外 网 且 变 更 IP 地 址 ,而 不 重新 启动 系统 , 则 不 是 真正 的 物理 隔离 。 
图 4. 19 为 一 种 采用 隔离 集线器 和 物理 隔离 卡 的 解决 方案 。 
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容 户 机 隔离 卡 客户 机 ”隔离 卡 隔离 卡 。 客户 机 隔离 卡 客户 机 
图 4.19 一 种 采用 隔离 集线器 和 物理 隔离 卡 的 解决 方案 


7 


在 隔离 集线器 的 基础 上 ,有 人 提出 了 隔离 交换 机 的 方案 。 
4.2.4 网 闸 
1. 网 闸 的 基本 原理 


计算 机 网 络 是 基于 网 络 协议 实现 连接 的 。 几 乎 所 有 的 攻击 都 是 在 网 络 协议 的 一 层 或 多 
层 上 进行 的 。 理 论 上 讲 , 如 果断 开 OSI 数据 模型 的 所 有 层 , 就 可 以 消除 来 自 网 络 的 潜在 攻 
击 。 网 闸 正 是 依照 此 原理 实现 了 信息 安全 传递 。 

网 闸 的 全 称 是 安全 隔离 网 闸 ,也 称 信 息 交 换 与 安全 隔离 系统 (官方 称呼 ) ,其 设计 理念 基 
于 如 下 两 点 。 

(1)“ 摆 渡 ”。 

过 河 可 以 用 船 摆渡 ,也 可 以 通过 桥 。 差 别 在 于 摆渡 不 连接 两 岸 , 桥 连接 两 岸 。 网 闸 采 用 
摆渡 方式 。 如 图 4. 20 所 示 , 用 这 种 方式 进行 网 络 隔离 , 即 当 设备 连接 一 端 时 , 另 一 端 一 定 是 
断 开 的 ,这 就 断 开 了 物理 层 和 数据 链 路 层 ,消除 了 物理 层 和 数据 链 路 层 的 漏洞 。 


内 网 网 外 网 网 口 
内 网 处 理 单元 外 网 处 理 单元 
B 点 
| 隔离 与 交换 
| 
1 


控制 单元 


数据 交换 区 
图 4.20 网 络 "摆渡 ?示意 图 


(2)“ 裸 体检 查 ”。 

传统 网 络 传 输 是 经 过 一 层 一 层 地 封装 ,在 每 一 层 中 按照 协议 进行 转发 。 这 些 转 发 可 以 
称 为 逻辑 连接 。 摆 渡 消 除了 物理 层 和 数据 链 路 层 的 漏洞 ,但 无 法 消除 之 上 各 层 的 漏洞 。 要 
想 通过 摆渡 网 闸 消除 TCP/VIP(COSI 的 3 到 4 层 ) 漏 洞 , 必 须 剥 离 TCP/IP 协议 ;要 想 消除 应 
用 协议 (OSI 的 5 到 ?7 层 ) 漏 洞 ,必须 剥离 应 用 协议 。 这 是 一 种 "裸体 检查 的 ?思想 ,好像 体 检 
要 脱光 衣服 一 样 。 在 网 闸 工 作 时 ,经 过 了 一 个 剥离 一 检测 一 重 封装 的 过 程 , 即 首先 将 数据 包 
进行 包头 的 剥离 .分解 或 重组 ,然后 对 静态 的 裸 数 据 进行 安全 审查 (包括 网 络 协议 检查 和 代 
码 扫 描 等 ) ,之 后 用 特殊 的 内 部 协议 封装 后 转发 ,到 达 对 端 网 络 后 再 重新 按照 TCP/IP 进行 
封装 ,实现 了 ”协议 落地 ,内 容 检测 ”。 

图 4. 21 是 一 个 采用 网 闸 的 政府 网 络 安全 解决 方案 。 


2. 网 闸 的 基本 结构 


如 图 4. 22 所 示 , 网 曾 系 统 主 要 由 内 网 处 理 、 外 网 处 理 和 安全 检测 与 控制 处 理 3 个 模块 
组 成 。 其 中 ,内 、 外 网 处 理 模块 负责 内 、 外 网 信息 获取 和 协议 分 析 ; 而 安全 检测 与 控制 处 理 模 
块 则 根据 安全 策略 完成 信息 的 安全 检测 .内 外 网 络 隔离 和 安全 交换 ,有 的 还 具有 更 完善 的 功 
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图 4.21 一 个 采用 网 阅 的 政府 网 络 安全 解决 方案 
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图 4.22 网 阅 的 基本 结构 


能 ,如 内 核 防 护 .协议 转换 、 病 毒 查 杀 .访问 控制 、 安 全 审计 、 身 份 认证 等 。 
网 闸 的 主要 性 能 指标 有 系统 数据 交换 速率 (一 般 要 求 大 于 120 Mb/s) 和 硬件 切换 时 间 
(一 般 要 求 小 于 5ms) 。 


3. 网 闸 的 实现 技术 


下 面 介绍 目前 的 网 疗 三 大 实现 技术 。 
1) 基于 存储 总 线 的 网 闸 技术 


基于 存储 总 线 的 网 闸 技术 是 目前 最 主流 的 网 闸 技 术 。 图 4. 23 为 基于 存储 总 线 的 网 闸 
工作 原理 示意 图 , 它 用 可 读 写 本 地 存储 介质 作为 交换 区 ,利用 电子 开关 控制 内 外 网 的 主机 单 
元 以 摆渡 方式 进行 数据 交换 区 内 存储 空间 的 读 写 。 主 机 单元 通过 扩展 卡 扩 展 存 储 总 线 , 并 
把 由 控制 信号 组 成 的 专用 扩展 总 线 连接 到 隔离 交换 控制 主机 上 。 对 交换 区 的 读 写 采取 块 方 
式 ,不 能 采用 文件 方式 ,数据 的 校 验 和 文件 的 还 原 都 在 主机 单元 中 进行 ;需要 读 出 写 和 人 的 数 
据 ,通过 比较 来 确认 写 人 的 数据 是 否 正 确 。 

具体 的 存储 技术 可 以 采用 SCSI 方式 :也 可 以 采用 IDE 方式 。 从 设计 的 方便 上 还 可 以 
选择 串 行 的 存储 方式 ,如 SATA、SAS 或 USB 盘 方 式 。 
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受 保护 网 络 非 信 任 网 络 
图 4.23 一 种 基于 存储 总 线 的 网 疗 结构 


2) 基于 通信 和 总 线 的 网 闸 技术 

基于 通信 总 线 的 网 闻 技 术 也 是 目前 成 熟 的 技术 之 一 。 如 图 4. 24 所 示 ,这 种 技术 采用 双 
端口 的 静态 存储 器 (Dual Port SRAM) ,配合 基于 独立 的 CPLD 的 控制 电路 ,以 实现 在 两 个 
端口 上 的 开关 , 双 端 口 各 自 通过 开关 连接 到 独立 的 计算 机 主机 上 。CPLD (Complex 
Programmable Logic Device ,复杂 可 编程 逻辑 器 件 ) 或 ARM(Advanced RISC Machines ,高 
级 精简 指令 集 机 器 ) 作 为 独立 的 控制 电路 ,确保 双 端 口 静态 存储 器 的 每 一 个 端口 上 存在 一 个 
开关 ,两 个 开关 不 能 同时 闭合 。 当 交换 的 内 容 是 文件 数据 时 , 它 确实 给 出 了 一 种 隔离 断 开 的 
实现 。 当 交换 的 内 容 是 IP 包 时 , 则 不 是 。 因 为 双 端 口 RAM 可 以 进行 IP 包 的 存储 和 转发 ， 
这 是 一 种 结构 缺陷 。 


_ 「 ”隔离 硬件 
控制 开关 | ARM | | 控制 开关 

外 | 

网 
外 部 网 络 处 Kl 双 端 口 K2 
Grim 黑 | 总 线 数 | | 静态 存储 器 | | 总 线 数 

元 | 扎 通 首 据 通 首 

图 4.24 一 种 基于 通信 和 总 线 的 网 疗 结构 


采用 这 种 技术 的 产品 ,应 该 严格 检查 是 否 实现 了 TCP/IP 协议 的 剥离 ,是否 实现 了 应 用 
协议 的 剥离 ,确保 是 应 用 输出 或 输入 的 文件 数据 被 转发 ,而 不 是 IP 包 。 除 此 之 外 ,还 必须 有 
机 制 来 保证 双 端 口 RAM 不 会 被 黑客 用 来 转发 IP 包 。 如 果 设 计 不 当 ,TCP/IP 协议 没有 和 剥 
离 ,IP 包 会 直接 被 写 人 内 存 存储 介质 ,并 且 被 转发 。 在 这 种 情况 下 ,尽管 物理 层 是 断 开 的 ， 
链 路 层 也 是 断 开 的 ,由 于 TCP/IP 协议 的 3 层 和 4 层 没 有 断 开 ,也 不 能 算 作 网 络 隔离 。 

3) 基于 单 向 通道 的 网 闸 技术 

由 于 双向 通道 可 能 会 为 攻击 提供 一 种 攻击 通道 ,近年 兴起 了 单 向 通道 技术 。 为 了 说 明 
这 个 问题 , 先 分 析 一 下 下 面 的 常见 攻击 过 程 : 

(1) 攻击 者 伪装 攻击 信息 。 

(2) 伪装 信息 搭载 正常 数据 通过 网 闸 。 
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(3) 攻击 信息 还 原 成 自己 :收集 信息 ,并 采用 与 (2) 同 样 的 手段 向 攻击 者 报告 。 

(4) 攻击 根据 已 经 取得 的 权限 进行 下 一 步 动 作 。 

这 样 , 双 向 的 “摆渡 ”是 无 法 切断 这 样 的 攻击 通道 的 ,即使 采用 了 协议 落地 的 手段 也 无 济 
于 事 , 因 为 某 些 攻击 的 行为 还 可 能 掩藏 于 “ 纯 数 据 " 之 中 ,就 像 罪犯 将 毒品 藏 到 体内 一 样 。 

如 图 4. 25 所 示 , 单 向 通道 就 是 把 通信 的 收 、 发 两 个 链 路 完全 分 开 ., 在 一 个 通道 中 不 能 完 
成 通信 的 反馈 ,攻击 行为 就 成 了 半 开 的 连接 .不 能 发 挥 效果 。 发 送 方 只 管 发 送 数据 ,数据 方 
只 管 接收 数据 。 

内 网 用 户 1 单 向 网 闸 


内 网 用 户 2 外 网 用 户 2 
内 网 认证 中 心 外 网 认证 中 心 
图 4.25 一 种 基于 单 向 通道 的 网 疗 结构 


单 向 通道 技术 没有 差错 重 传 机 制 ,发 送 方 并 不 知道 接收 方 是 否 可 靠 地 接收 到 数据 ,必须 
通过 其 他 的 机 制 来 提供 可 靠 保障 。 例 如 ,加 上 简单 的 控制 信号 ,实现 数据 的 差错 重 发 等 。 


4.3 Internet 安全 协议 


当初 ,TCP/IP 开发 的 目标 主要 有 两 点 : 互联 和 高 效 , 而 没有 考虑 安全 问题 。 随 着 
Internet 的 广泛 应 用 ,安全 问题 逐步 突出 出 来 。 为 了 解决 Internet 上 的 数据 安全 传输 问题 ， 
人 们 采用 了 打 “ 补 丁 ” 的 办 法 : 一 块 补丁 打 在 IP 层 之 上 , 称 为 IPSec(CIP Security) ;一 块 补丁 
打 在 TCP 层 与 应 用 层 之 间 , 称 为 SSL(Secure Socket Layer, 安 全 套 接 层 ) 。 

它们 采用 了 现代 密码 学 方法 ,是 在 具体 环境 下 实现 机 密 性 保护 和 认证 性 服务 的 范例 。 


4.3.1 IPSec 


IP 是 TCP/IP 网 络 中 最 关键 的 一 层 ,其 安全 性 是 整个 TCP/IP 安全 的 基础 。 为 了 弥补 
IP 安全 的 缺陷 ,1994 年 [ETF(Internet 安全 任务 组 ) 成 立 了 一 个 工作 组 来 制定 和 推动 关于 
IP 安全 的 协议 标准 ,并 于 1995 年 5 月 公布 了 一 套 IETF 草案 ,形成 一 个 IP 安全 体系 。 


1. IP 安全 分 析 


IP 层 是 关系 整个 TCP/IP 安全 的 核心 和 基础 。 但 是 ,由 于 当初 设计 时 的 环境 和 所 考虑 
的 基本 出 发 点 ,对 IP 没有 过 多 地 考虑 防卫 问题 ,只 是 设法 使 网 络 能 够 方便 地 互通 互联 。 这 
种 不 设防 政策 ,给 Internet 造成 许多 安全 隐患 和 漏洞 ,并 随 着 攻击 技术 的 提高 ,问题 的 严重 
性 日 益 加 剧 。 下 面 举 几 个 例子 来 说 明 IP 遭受 的 安全 威胁 。 
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(1) IPv4 缺乏 对 通信 双方 真实 身份 的 验证 能 力 , 仅 仅 采 用 基于 源 IP 地 址 的 可 认证 机 
制 ,并 且 由 于 IP 地 址 可 以 进行 软件 配置 ,这 样 就 给 攻击 者 以 有 机 可 乘 , 可 以 在 一 台 计 算 机 上 
假冒 另 一 台 计 算 机 向 接收 方 发 送 数据 包 , 而 接收 方 又 无 法 判断 接收 到 的 数据 包 的 真实 性 。 
这 种 IP 欺骗 可 以 在 多 种 场合 制造 灾难 。 

(2) IPv4 缺乏 对 网 络 上 传输 的 数据 包 进 行 机 密 性 和 完整 性 保护 的 能 力 ,一 般 情况 下 IP 
包 是 明文 传输 的 ,第 三 方 很 容易 窃听 到 IP 数据 包 并 提取 其 中 的 数据 ,甚至 自 改 窃取 到 的 数 
据 包 内 容 , 而 且 不 被 发 觉 ,因为 只 要 相应 地 修改 校 验 和 即 可 。 

(3) 由 于 数据 包 中 没有 携带 时 间 惟 一 次 性 随机 数 等 ,很 容易 遭受 重 放 攻击 。 攻 击 者 搜 
集 特定 IP 包 , 进 行 一 定 处 理 就 可 以 一 一 重新 发 送 , 欺 骗 对 方 。 

(4) 路 由 器 布局 是 Internet 的 骨架 。 路 由 器 不 设防 ,将 会 使 路 由 信息 暴露 ,为 攻击 者 提 
供 入侵 途 径 。 


2. IPSec 的 传输 模式 和 隧道 模式 


IPSec 是 一 套 协 议 包 , 它 提供 了 如 图 4. 26 所 示 的 两 种 封装 方式 对 IP 数据 包 进 行 封 装 ， 
形成 了 两 种 工作 模式 : 传输 模式 (transport mode) 和 隧道 模式 (tunnel mode)。 


L 下 类 | IPSec 头 国有 数据 i 
WD Se 传输 模式 封装 | 
| P 关 | 伟 轴 层 关 数据 原始 IP 包 
' 隧道 模式 封装 | 
传输 层 头 数据 隧道 模式 IPSec 包 


图 4. 26 IPSec 两 种 封装 的 基本 格式 


1) 传输 模式 

在 传输 模式 中 ,IPSec 只 保护 IP 数据 包 中 的 有 效 数据 一 一 传输 层 数据 包 , 或 者 说 只 保 
护 上 层 协 议 的 数据 包 , 即 只 对 传输 层 数据 包 进 行 加 密 或 认证 ,原来 的 IP 头 不 变 。 所 以 
IPSec 头 添加 在 IP 头 与 IP 数据 之 间 。 这 样 ,封装 了 的 数据 包 还 可 以 直接 传送 到 目的 主机 。 
这 样 就 可 以 形成 两 台 主 机 之 间 的 安全 通信 。 

传输 模式 的 特点 如 下 : 

。 只 保护 数据 ,不 保护 IP 头 , 即 IP 地 址 是 暴露 的 。 

。 用 于 两 个 主机 之 间 。 

2) 隧道 模式 

隧道 模式 保护 整个 卫 包 : 既 保 护 IP 包 的 内 容 . 也 保护 卫 包 的 头 部 ,所 以 IPSec 头 添 加 
在 整个 IP 数据 包 之 前 。 但 这 样 , 所 有 的 路 由 器 都 不 知道 该 数据 包 从 哪里 来 ,到 哪里 去 了 。 
为 此 还 必须 给 新 的 受 保护 的 数据 包 再 加 上 一 个 新 的 IP 头 。 在 新 的 了 P 头 中 ,不 再 使 用 原来 
的 源 地 址 和 目的 地 址 ,只 给 出 源 端 路 由 器 地 址 和 目的 端 路 由 器 地 址 。 也 就 是 说 , 源 IP 数据 
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包 在 源 端 路 由 器 中 被 加 密 、 被 包装 成 新 的 IP 数据 包 数 据 包 发 送 ,在 目的 路 由 器 中 进行 解 包 、 
解密 ,再 从 原来 的 IP 头 取出 真实 目的 地 址 ,将 数据 传送 给 目的 主机 。 这 样 ,监听 者 只 能 监听 
到 两 端 路 由 器 的 地 址 ,无 法 监听 到 数据 包 真 实 的 源 主机 和 目的 主机 的 地 址 。 这 样 就 形成 两 
台 路 由 器 之 间 的 安全 通信 模式 ,这 种 数据 包 在 传输 的 过 程 中 ,路 由 器 只 检查 新 的 了 P 头 。 新 
的 IP 头 定 义 了 从 源 路 由 器 到 目的 路 由 器 之 间 的 一 条 虚拟 路 径 ,好 像 在 两 个 路 由 器 之 间 形 成 
一 个 可 以 安全 通信 的 隧道 。 

总 之 ,隧道 模式 有 如 下 特点 : 

。 既 保 护 数据 ,又 保护 IP 头 。 

。 用 于 两 个 安全 网 关 之 间 。 

。 无 法 控制 来 自 内 部 的 攻击 。 


3. AH 协议 和 ESP 协议 


IPSec 的 核心 是 两 个 安全 协议 : AH (Authentication Header, 认证 头 ) 协 议和 ESP 
(Encapsulating Security Payload, 安 全 负荷 封装 ) 协 议 , 它 们 分 别提 供 了 两 种 安全 机 制 : 认 
证 和 加 密 。 它 们 都 用 来 封装 IP 数据 包 。 

1) AH 协议 

AH 为 IP 包 提供 数据 的 完整 性 和 验证 服务 : 

(1) 对 数据 使 用 完整 性 检查 ,可 以 判定 数据 包 在 传输 过 程 中 是 否 被 修改 。 

(2) 通过 验证 机 制 , 终 端 系 统 或 设备 可 以 对 用 户 或 应 用 进行 验证 ,并 过 滤 通 信 流 ;还 可 
以 防止 地 址 欺骗 和 重 放 攻击 。 

AH 具有 如 图 4. 27 所 示 的 格式 。 

0 8 15:16. 31 
下 一 个 头 ”载荷 长 度 | 保留 
安全 参数 索引 (SPD 
序列 号 


认证 数据 (可 变 ) 


图 4.27 AH 格式 


(1) 下 一 个 头 (8b) : 标识 紧 跟 验证 头 的 下 一 个 头 的 类 型 。 

(2) 载荷 长 度 (8b) : 为 以 32b 为 单位 的 验证 数据 长 度 加 1。 如 默认 的 验证 数据 字段 长 
度 为 96b, 为 3 个 32b; 加 上 1, 得 4, 即 默认 的 验证 数据 的 AH 头 的 载荷 长 度 为 4。 

(3) 保留 (16b): 备 以 后 使 用 。 

(4) 安全 参数 索引 (32b) : 用 于 标识 一 个 安全 协同 (Security Association ,SA) 。 

(5) 序号 (8b) : 无 符号 单调 递增 计数 值 : 用 于 IP 数据 包 的 重 放 检查 。 

(6) 认证 数据 (32b 的 整数 倍 可 变 长 数据 ) : 含 数 据 包 的 ICV (完整 性 校 验 值 ) 或 MAC。 

图 4. 28 为 在 传输 模式 和 隧道 模式 下 的 AH 包 格 式 。 
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区 包头 [A [本 数据 | Ah 
Sl 传输 模式 封装 | 
8 数据 | 原始 IP 包 
| 隧道 模式 封装 I 
[ 新 P 关 | AH 关 | 十 | 传输 层 关 数据 隧道 模式 的 AH 包 


图 4.28 传输 模式 和 隧道 模式 下 的 AH 包 格 式 


2) ESP 协议 


ESP 协议 为 IP 数据 包 提 供 如 下 服务 : 
(1) IP 包 的 机 密 性 保护 。 

(2) 数据 源 验证 。 

(3) 数据 完整 性 保护 。 

(4) 抗 重 放 保 护 。 

ESP 具有 如 图 4. 29 所 示 的 格式 。 

0 78 15216 23 24 3 
安全 参数 索引 (SPD 
序列 号 
初始 化 向 量 


f= 载荷 数据 (可 变 ) 一 | 


填充 (0-255b) 
填充 长 度 We A 


[a 认证 数据 (可 变 ) sa 


图 4.29 ESP 格式 


(1) 下 一 个 头 (8b) : 通过 标识 载荷 中 的 第 一 个 头 ( 如 IPv6 中 的 扩展 头 , 或 诸如 TCP 等 
上 层 头 ) 决 定 载荷 数据 字段 中 数据 的 类 型 。 

(2) 安全 参数 索引 (32b) : 标识 一 个 安全 协同 (SA) 。 

(3) 序号 (8b) : 无 符号 单调 递增 计数 值 , 用 于 IP 数据 包 的 重 放 检 查 。 

(4) 认证 数据 (32b 的 整数 倍 的 可 变 长 数据 ): 用 于 填 和 人 ICV (完整 性 校 验 值 )。IVC 的 
计算 范围 为 ESP 包 中 除 掉 验 证 数据 字段 部 分 。 

(5) 填充 项 (0 一 255b) : 额外 字 节 。 

(6) 填充 长 度 (8b) : 填充 的 字 节 数 。 

(7) 载荷 数据 (可 变 ) : 在 传输 模式 下 为 传输 层 数 据 段 ,在 隧道 模式 下 为 IP 包 。 

图 4. 30 为 在 传输 模式 和 隧道 模式 下 的 ESP 包 格 式 。 
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图 4. 30 ”传输 模式 和 隧道 模式 下 的 ESP 包 格 式 


4. IKE 


IPSec 的 密 钥 管理 包括 密 钥 的 确定 和 分 配 , 可 以 采用 手工 或 自动 方式 进行 。IPSec 默认 
的 自动 密 钥 管理 协议 是 IKE(Internet Key 下 xchange, Internet 密 钥 交换 )。IKE 主要 起 两 
个 作用 : 

(1) 安全 关联 (Security Associations, SA ) 的 集中 化 管理 ,以 减少 连接 时 间 。 

(2) 密 钥 的 生成 与 管理 。 

IKE 规定 了 验证 IPSec 对 等 实体 .协商 安全 服务 和 生成 会 话 密 钥 的 方法 。IKE 将 密 钥 
协商 结果 保留 在 SA 中 , 供 AH 和 ESP 以 后 通信 时 使 用 。 

IKE 有 4 种 身份 认证 方式 。 

(1) 基于 数字 签名 的 认证 : 利用 数字 证 书 表示 身份 ,利用 数字 签名 算法 计算 出 一 个 签 
名 来 验证 身份 。 

(2) 基于 公 钥 的 认证 : 用 对 方 的 公 钥 加 密 身 份 ,通过 检查 对 方 发 来 的 哈 希 值 进行 认证 。 

(3) 基于 修正 的 公 钥 : 对 上 一 个 方式 的 修正 。 

(4) 基于 预 共享 字符 串 : 双方 事先 商定 好 一 个 共享 的 字符 串 。 


5. IPSec 体系 结构 


IPSec 各 部 件 之 间 的 关系 如 图 4. 31 所 示 。 


IPSec 安全 体系 
加 密 算法 验证 算法 
| DOI BB 宇和 | 
下 
IKE 协 议 
h 
策略 


4.31 IPSec 各 部 件 之 间 的 关系 
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对 IPSec 的 体系 结构 有 以 下 几 点 说 明 : 

(1) IPSec 的 加 密 只 用 于 ESP。 目 前 的 IPSec 标准 要 求 任何 IPSec 实现 都 必须 支持 
3DES 和 AES( 高 级 加 密 标 准 )。 

(2) IPSec 的 验证 算法 可 用 于 AH 和 ESP ,主要 采用 HMAC。HMAC 将 消息 和 密 钥 作 
为 输入 来 计算 MAC。MAC 保存 在 AH/ESP 头 中 的 验证 数据 字段 中 。 目 的 地 址 收 到 IP 包 
后 ,使 用 相同 的 验证 算法 和 密 钥 计 算 一 个 新 的 MAC ,并 与 数据 包 中 的 MAC 比 对 。 

(3) DOI(Domain of Interpretation ,解释 域 ) 用 来 组 合 相 关 协 议 , 如 定义 负载 的 格式 和 
交换 的 类 型 ,以 及 对 安全 相关 信息 的 命名 约定 ,比如 对 安全 策略 或 者 加 密 算法 和 模式 的 命 
名 等 。 

4.3.2 SSL 


SSL 是 Netscape 公司 提出 的 一 种 建构 在 TCP 之 上 为 Web 提供 安全 服务 的 安全 标 
准 。1999 年 ,SSL 被 IETF 接受 后 ,经 过 改进 以 TLS(Transport Layer Security) 协 议 为 名 
推出 。 于 是 ,形成 有 专利 保护 的 SSL 和 成 为 标准 的 TLS 两 种 版 本 。 不 过 ,SSL 已 经 成 为 事 
实 上 的 标准 。 虽 然 SSL 的 初 囊 是 为 Web 提供 安全 服务 ,但 是 由 于 它 的 与 应 用 层 协议 无 关 
性 的 开发 思想 ,使 其 可 以 基于 传输 层 为 高 层 应 用 协议 提供 透明 的 安全 服务 。 其 中 在 Web 服 
务 器 和 浏览 器 之 间 的 安全 通信 则 是 它 最 典型 的 应 用 ,几乎 所 有 Web 服务 器 和 浏览 器 都 支持 
它 , 并 且 把 基于 SSL 的 HTTP 协议 称 为 HTTPS 协议 。 


1. SSL 的 工作 过 程 


SSL 的 设计 目标 是 基于 客户 /服务 器 工作 方式 (点 对 点 的 信息 传输 ) ,使 高 层 协议 在 进 
行 通信 之 前 就 能 完成 加 密 算 法 、 密 钥 协商 和 服务 器 的 认证 ,并 在 此 基础 上 进行 加 密 的 安全 通 
信 ( 即 对 发 送 的 消息 数据 进行 分 组 、 压 缩 、 加 密 和 生成 认证 码 ) ,为 应 用 会 话 提供 防 窃听 、 防 算 
改 和 防 消息 伪造 服务 。 所 以 它 位 于 应 用 层 和 传输 层 之 间 。 

实现 上 述 目 标的 基本 过 程 如 下 : 

(1) 安全 协商 : 互相 交换 SSL 版 本 号 和 所 支持 的 加 密 算法 等 信息 。 

(2) 彼此 认证 。 

Q@ 服务 器 将 自己 由 CA 的 私 钥 加 密 的 证 书 告 诉 浏 览 器 。 服 务 器 也 可 以 向 浏览 器 发 出 
证 书 请 求 , 对 浏览 器 进行 认证 。 

@ 浏览 器 检查 服务 器 的 证 书 ( 是 否 由 自己 列表 中 的 某 个 CA 颁发 ): 不 合法 , 则 终止 连 
接 ; 合 法, 则 进入 生成 会 话 密 钥 步 又 。 

@ 如 果 服 务 器 有 证 书 请 求 ,浏览 器 也 要 发 送 自己 的 证 书 。 

(3) 生成 会 话 密 钥 。 

Q@ 浏览 器 用 CA 的 公 钥 对 服务 器 的 证 书 解密 ,获得 服务 器 的 公 钥 。 

@ 浏览 器 生成 一 个 随机 会 话 密 钥 ,用 服务 器 的 公 钥 加 密 后 ,发送 给 服务 器 。 

(4) 启动 会 话 密 钥 : 

|@ 浏览 器 向 服务 器 发 送 消 息 ,告诉 服务 器 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 铀 
加 密 。 
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@) 浏览 器 再 向 服务 器 发 送 一 个 加 密 消 息 ,告诉 服务 器 会 话 协商 过 程 完 成 。 

@ 服务 器 向 浏览 器 发 送 消息 ,告诉 浏览 器 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 钥 
加 密 。 

@ 服务 器 再 向 浏览 器 发 送 一 个 加 密 消 息 ,告诉 浏览 器 会 话 协商 过 程 完 成 。 

(5) SSL 会 话 正式 开始 : 双方 用 协商 好 的 会 话 密 钥 加 密 发 送 的 消息 。 


2. SSL 体系 结构 


为 了 实现 上 述 过 程 ,SSL 体系 结构 由 两 层 组 成 : 

(1) 握手 层 (管理 层 ) : 用 于 密 钥 的 协商 和 管理 ,由 握手 协议 .更 改 密码 规范 协议 和 警报 
协议 组 成 。 

Q@ SSL 握手 协议 (handshake protocol) : 准许 服务 器 端 与 客户 端 在 开始 传输 数据 前 可 
以 通过 特定 的 加 密 算 法 相互 鉴别 。 

@ SSL 更 改 密码 规范 协议 (change cipher spec protocol) : 保证 可 扩展 性 。 

@ SSL 警报 协议 Calert protocol) : 产生 必要 的 警报 信息 。 

(2) 记录 层 : 运行 SSL 记录 协议 (record protocol) ,为 高 层 应 用 协议 提供 各 种 安全 服 
务 ,对 上 层 数 据 进行 加 密 .产生 MAC 等 并 进行 封装 。 

图 4. 32 表明 LLS 在 TCP/IP 协议 栈 中 的 位 置 。 它 位 于 传输 层 之 上 、 应 用 层 之 下 ,并 独 
立 于 应 用 层 ,使 应 用 层 可 以 直接 建立 在 SSL 上 。 


J SSL 握 手 协议 |SSL 更 改 密码 规范 协议 | SSL 和 警报 协议 | HTTP 等 高 层 协议 


a SSL 记 录 协 议 
TCP 协 议 
IP 协 议 


图 4.32 SSL 体系 结构 


3. SSL 握手 


连接 (connection) 和 会 话 (session) 是 SSL 中 的 两 个 重要 概念 : 一 个 SSL 会 话 是 客户 机 
与 服务 器 之 间 的 一 个 关联 ,一 个 SSL 连接 提供 一 种 合适 的 服务 类 型 传输 。SSL 连接 是 点 对 
点 的 关系 ,并 且 连 接 是 和 暂时 的 ,每 一 个 连接 只 与 一 个 会 话 关 联 。 会 话 定义 了 一 组 可 供 多 个 连 
接 共 享 的 加 密 安 全 参数 ,以 避免 为 每 一 个 连接 提供 新 的 安全 参数 所 需 的 昂贵 谈判 代价 。 

客户 机 与 服务 器 要 建立 一 个 会 话 , 就 必须 握手 。SSL 会 话 由 SSL 握手 协议 创建 或 恢 
复 。 图 4. 33(a) 为 创建 一 个 会 话 的 握手 过 程 ,图 4.33(b) 为 恢复 一 个 会 话 的 握手 过 程 。 

下 面 主要 介绍 创建 会 话 时 的 握手 过 程 。 

(1) Hello 阶段 。 

握手 协议 从 客户 机 发 出 的 第 一 道 信 息 ClientHello 开始 。 

J ClientHello 和 ServerHello, 用 于 协商 安全 参数 ,包括 协议 版 本 号 、 会 话 识 别 码 
(Csession _id)、 时 间 惟 .密码 算法 协商 (cipher suit)、 压 缩 算法 、 两 个 28B 的 随机 数 
(ClientHello. random 和 ServerHello. random)。 
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客户 机 服务 器 


ClientHello 


ServerHello 


Certificate* 


ServerKeyExchange* 


ServerHelloDone 


客户 机 服务 器 


ClientHello 


Certificate* 


ServerKeyExchange 


| 
| 
| 
CertificateRequest* | 
| 
| 
| 
| 


CertificateVerify* ServerHello 


[ChangeCipherSpec] [ChangeCipherSpec] 


Finished | Finished 
一 | — 
[ChangeCipherSpec] | [ChangeCipherSpec] 
Finished | Finished 
一 | 
Application Data | Application Data 
一 一 | 一 | 
(a) 创建 一 个 会 话 (b) 恢复 一 个 会 话 


图 4. 33 ”SSL 握手 过 程 
注 : * 表示 依 当 时 情形 ,可 选择 性 发 出 。 


@ Certificate, 密 钥 交 换 信息 ,在 要 验证 服务 器 时 发 出 。 

@ ServerKeyExchange, 送 出 供 客户 机 计算 出 共享 密 钥 的 参数 ,包含 服务 器 临时 公 钥 。 
这 些 信息 一 般 包 含 在 Certificate 中 。 只 在 下 列 情况 下 才 由 服务 器 发 出 : 

。 不 需要 验证 服务 器 。 

。 要 求 验 证 服务 器 ,但 服务 器 无 证 书 或 服务 器 证 书 是 用 于 签名 。 

@ CertificateRequest 是 在 服务 器 要 求 验证 客户 机 时 发 出 。 

@) ServerHelloDone 表示 双方 握手 过 程 的 Hello 阶段 结束 。 

这 时 ,服务 器 等 待 客户 机 回音 。 

(2) 加 解密 参数 传输 。 

GD Certificate ,回答 服务 器 的 CertificateRequest 要 求 的 信息 。 服 务 器 无 要 求 时 ,不 发 。 

@ ClientKeyExchange, 对 ClientHello 和 ServerHello 密 钥 交换 算法 的 回复 ,以 
ServerKeyExchange 所 选 的 算法 进行 ,让 双方 可 以 共享 密 钥 。 

@ CertificateVerify, 对 此 前 服务 器 送 来 的 所 有 信息 (ClientHello/ServerHello、 
Certificate 和 ServerKeyExchange) 产 生 的 签名 ,让 服务 器 进一步 确定 客户 机 的 正确 性 。 

@ ExchangeCipherSpec,SSL 更 改 密码 规范 协议 消息 。 

@ Finished, 用 协商 好 的 算法 和 和 密 钥 加 密 的 握手 完成 消息 。 
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(3) 服务 器 确认 。 

O@ ExchangeCipherSpec, 回 复 客户 机 的 ExchangeCipherSpec 消息 。 
@ Finished, 用 协商 好 的 算法 和 密 钥 加 密 的 握手 完成 消息 。 

(4) 会 话 数据 传输 ,开始 传输 应 用 数据 。 

恢复 一 个 已 经 存在 的 会 话 时 ,握手 过 程 一 般 只 需要 Hello 阶段 。 


4. SSL 记录 协议 的 封装 


在 SSL 体系 中 , 当 上 层 ( 应 用 层 或 表示 层 ) 的 应 用 要 选用 SSL 协议 时 ,上 层 ( 握 手 、 警 报 、 
更 改 密码 规范 、HTTP 等 ) 协 议 信 息 会 通过 SSL 记录 子 协议 使 用 一 些 必要 的 程序 将 加 密码 、 
压缩 码 和 MAC 等 封装 成 若干 数据 包 ,再 通过 其 下 层 ( 基 本 上 都 是 从 呼叫 socket 接口 层 ) 传 
送出 去 。 

记录 协议 的 封装 过 程 如 图 4. 34 所 示 。 


应 用 层 数据 [ab cdefghijk lmn. 


1 1 1 


分 组 |ab c d efgh ijkl 


了 A 


压缩 NI 哈 希 函数 
1 


MAC 


图 4.34 记录 协议 的 封装 过 程 
4.3.3 VPN 


1. VPN 的 基本 原理 


虚拟 专用 网 (Virtual Private Network,VPN) 是 指 将 物理 上 分 布 在 不 同 地 点 的 专用 网 
络 通过 不 可 信任 的 公共 网 络 构 造成 逻辑 上 信任 的 虚拟 子 网 ,进行 安全 的 通信 。 这 里 公共 网 
络 主 要 指 Internet。 
图 4. 35 为 VPN 的 结构 示意 图 。 图 中 有 3 个 专 网 ,它们 都 位 于 VPN 设备 的 后 面 ,同时 
由 路 由 器 连接 到 公共 网 。VPN 技术 采用 了 安全 封装 、 加 密 、 认 证 、 存 取 控 制 、 数 据 完整 性 保 
护 等 措施 ,使 得 敏感 信息 只 有 预定 的 接收 者 才能 读 懂 ,实现 信息 的 安全 传输 ,使 信息 不 被 泄 
露 、 算 改 和 复制 ,相当 于 在 各 VPN 设备 间 形 成 一 些 跨越 Internet 的 虚拟 通道 “隧道 ”。 
隧道 的 建立 主要 有 两 种 方式 : 客户 启动 (clientinitiated) 和 客户 透明 (client- 
transparent) 。 客 户 启 动 也 称 自愿 型 隧道 .要求 客户 和 服务 器 (或 网 关 ) 都 安装 特殊 的 隧道 软 
件 ,以 便 在 Internet 中 可 以 任意 使 用 隧道 技术 ,完全 由 自己 控制 数据 的 安全 。 客 户 透 明 也 称 
强制 型 隧道 ,只 需要 服务 器 端 安装 特殊 的 隧道 软件 ,客户 软件 只 用 来 初始 化 隧道 ,并 使 用 用 
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专 网 2 


专 网 3 


或 痪 NdA 


或 沁 NdA 


图 4.35 VPN 的 结构 与 基本 原理 


户 ID` 口 令 或 数字 证 书 进 行 权 限 鉴 别 , 使 用 起 来 比较 方便 ,主要 供 ISP 将 用 户 连 接 到 
Internet 时 使 用 。 

VPN 的 基本 处 理 过 程 如 下 : 

(1) 要 保护 的 主机 发 送 明文 信息 到 其 VPN 设备 。 

(2) VPN 设备 根据 网 络 管理 员 设 置 的 规则 ,确定 是 对 数据 进行 加 密 还 是 直接 传送 。 

(3) 对 需要 加 密 的 数据 ,VPN 设备 将 其 整个 数据 包 ( 包 括 要 传送 的 数据 、 源 IP 地 址 和 
目的 IP 地 址 ?进行 加 密 并 附 上 数字 签名 ,加 上 新 的 数据 报头 (包括 目的 VPN 设备 需要 的 安 
全 信息 和 一 些 初始 化 参数 ) ,重新 封装 。 

(4) 将 封装 后 的 数据 包 通 过 隧道 在 公共 网 上 传送 。 

(5) 数据 包 到 达 目 的 VPN 设备 ,将 数据 包 解 封 ,核对 数字 签名 无 误 后 ,对 数据 包 解 密 。 


2. 隧道 结构 


隧道 技术 是 VPN 技术 的 核心 , 它 涉 及 数据 的 封装 ,可 以 利用 TCP/IP 协议 作为 主要 传 
送 协 议 , 以 一 种 安全 的 方式 在 公用 网 络 ( 如 Internet) 上 传送 。 

在 VPN 中 ,双方 的 通信 和 量 很 大 ,并 且 往 往 很 熟悉 ,这 样 就 可 以 使 用 复杂 的 专用 加 密 和 
认证 技术 对 通信 双方 的 VPN 进行 加 密 和 认证 。 为 了 实现 这 些 功能 ,隧道 被 构造 为 一 种 3 
层 结构 : 

(1) 最 底层 是 传输 。 传 输 协议 用 来 传输 上 层 的 封装 协议 ,IP、.ATM、PVC 和 SVC 都 是 
非常 合适 的 传输 技术 。 其 中 因为 IP 具有 强大 的 路 由 选择 能 力 , 可 以 运行 于 不 同 的 介质 上 ， 
因而 应 用 最 为 广泛 。 

(2) 第 二 层 是 封装 。 封 装 协议 用 来 建立 、 保 持 和 拆 印 隧 道 , 或 者 说 是 数据 的 封装 、 打 包 
与 拆 包 。 

(3) 第 三 层 是 认证 。 


3. VPN 实现 技术 


目前 ,实现 VPN 的 主要 技术 有 两 种 : 一 是 基于 IPSec 协议 的 VPN 模式 ,一 是 基于 SSL 
协议 的 VPN 模式 。 关 于 它们 的 具体 实现 方法 ,这 里 不 再 费 述 。 
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4. VPN 的 服务 类 型 


从 应 用 的 角度 看 ,VPN tide 3 种 类 型 。 

(1) 远程 访问 VYPN(access VPN): 适合 在 外 地 有 流动 办 公 的 情况 。 这 时 的 驻 外 工作 人 
员 ass 与 本 部 进行 VPN 连接 ,利用 HTTP、FTP 等 或 其 
他 网 络 服务 与 本 部 交换 信息 。 


(2) 内 联 VPN(intranet VPN) : 适合 在 外 地 有 固定 分 支 机 构 的 情形 。 这 时 , 驻 外 分 支 
机 构 通过 ISP 与 本 部 进行 VPN 人 
(3) 外 联 YPN(extranet VPN): 适合 与 业务 伙伴 之 间 通 信 的 连接 。 这 时 ,往往 需要 通 


ee ed me te or shal Nii VPN 连接 。 
实验 10 ”实现 一 个 VPN 连接 
1. 实验 目的 


(1) 理解 VPN 的 工作 原理 。 
(2) 了 解 VPN 的 应 用 。 
(3) 掌握 VPN 实现 的 技术 方法 。 


2. 实验 内 容 


(1) 实现 一 个 VPN 连接 。 
(2) 测试 连接 后 的 VPN 网 络 。 


3. 建议 环境 


(1) 在 Windows 操作 系统 中 利用 PPTP 配置 VPN 网 络 , 即 在 Windows 2000 Server 
中 选择 “开始 ”一 “程序 ”一 “管理 工具 ”, 单 击 “ 路 由 和 远程 访问 ”。 

(2) 在 Windows 中 配置 IPSec, 即 选择 “开始 ”一 “程序 ”一 “管理 工具 ”, 进 入 “本 地 安全 
策略 ”界面 。 在 右 侧 窗 口中 ,可 以 看 到 默认 情况 下 Windows 内 置 的 “安全 服务 器 ”“ 客 户 端 ” 
和 “服务 器 ”3 个 安全 选项 ,并 附 有 描述 。 

(3) 在 Linux 操作 系统 中 利用 CIPE 配置 VPN。CIPE(Crypto IP Encapsulation) 是 主 
要 为 Linux 而 开发 的 VPN 实现 软件 。CIPE 使 用 默认 的 CIPE 加 密 机 制 ( 标 准 的 Blowfish 
或 IDEA 加 密 算法 ) 来 加 密 IP 分 组 ,并 为 这 些 分 组 添加 目标 头 信息 后 ,封装 或 “包围 ?在 数据 
报 CUDP) 中 。 然 后 ,这 些 UDP 分 组 再 通过 CIPE 虚拟 网 络 设备 (cipcbX) 和 IP 层 。 

4. 实验 准备 

(1) 对 要 使 用 的 VPN 连接 进行 需求 分 析 。 

(2) 根据 需求 分 析 提 出 使 用 的 VPN 连接 方案 。 

(3) 设计 实现 确定 的 VPN 方案 所 需要 的 软 硬 件 环 境 。 


(4) 设计 进行 VPN 连接 的 步骤 。 
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(5) 设计 进行 VPN 连接 测试 的 方法 和 步骤 。 
5. 推荐 的 分 析 讨 论 内 容 


(1) 搜集 各 种 VPN 实现 技术 ,并 进行 比较 。 

(2) 对 自己 实现 的 VPN 进行 安全 风险 分 析 , 提 出 改进 设想 。 

(3) 有 的 计算 机 网 络 具 有 单 人 口 点 , 即 出 和 网络 的 所 有 数据 都 只 通过 单个 网 关 ( 路 由 器 / 
防火 墙 ) ,而 有 的 网 络 中 使 用 了 多 个 网 关 。 在 这 两 种 情况 下 ,进行 VPN 配置 有 什么 区 别 ? 

(4) 其 他 发 现 或 想到 的 问题 。 


4.4 人 侵 检 测 系 统 


4.4.1 入 侵 检测 及 其 模型 
1. 入 侵 检 测 与 入 侵 检 测 系 统 


入 侵 检 测 系 统 (Intrusion Detection System,IDS) 是 对 计算 机 和 网 络 系统 资源 上 的 恶意 
使 用 行为 进行 识别 和 响应 的 处 理 系统 ; 它 像 雷 达 警 戒 一 样 ,在 不 影响 网 络 性 能 的 前 提 下 ,对 
网 络 进行 警戒 ,监控 ,从 计算 机 网 络 的 若干 关键 点 收集 信息 ,通过 分 析 这 些 信息 ,看 看 网 络 中 
是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ,从 而 扩展 了 系统 管理 员 的 安全 管理 能 力 , 提 
高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 最 早 于 1980 年 4 月 由 James P. Anderson 在 为 美国 空军 起 草 的 技术 报告 
Computer Security Threat Monitoring and Surveillance(《 计 算 机 安全 威胁 监控 与 监视 》) 
中 提出 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,将 威胁 分 为 外 部 渗透 、 内 部 渗 
透 和 不 法 行为 ;提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 这 份 报 告 被 认为 是 入 侵 检 
测 的 开山 之 作 。 

这 里 ,“ 入 侵 ”(intrusion) 是 一 个 广义 的 概念 ,不 仅 包 括 发 起 攻击 的 人 (包括 黑客 ) 取 得 超 
出 合法 权限 的 行为 ,也 包括 收集 漏洞 信息 ,造成 拒绝 访问 (DoS) 等 对 系统 造成 危害 的 行为 。 
而 入 侵 检 测 (intrusion detection) 就 是 对 入 侵 行为 的 发 觉 。 它 通过 对 计算 机 网 络 等 信息 系统 
中 若干 关 键 点 的 有 关 信 息 的 收集 和 分 析 , 从 中 发 现 系 统 中 是 否 存在 违反 安全 规则 的 行为 和 
被 攻击 的 迹象 。 入 侵 检 测 系统 就 是 进行 人 侵 检 测 的 软件 和 硬件 的 组 合 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,被 认为 是 防火 墙 后 面 的 第 二 道 安全 防线 。 


2. 入 侵 检 测 系统 的 功能 


具体 说 来 ,入 侵 检 测 系统 的 主要 功能 如 下 : 

。 监视 并 分 析 用 户 和 系统 的 行为 。 

。 审计 系统 配置 和 漏洞 。 

。 评估 敏感 系统 和 数据 的 完整 性 。 

。 识别 攻击 行为 ,对 异常 行为 进行 统计 。 
"。 222 。 


。 自动 收集 与 系统 相关 的 补丁 。 
。 审计 、` 识 别 并 跟踪 违反 安全 法 规 的 行为 。 
。 使 用 诱骗 服务 器 记录 黑客 行为 。 


3. 实时 入 侵 检 测 和 事后 入 侵 检 测 


实时 入 侵 检 测 在 网 络 的 连接 过 程 中 进行 ,通过 攻击 识别 模块 对 用 户 当 前 的 操作 进行 分 
析 ,一 旦 发 现 攻 击 迹 象 就 转 入 攻击 处 理 模块 ,如 立即 断 开 攻 击 者 与 主机 的 连接 、 收 集 证 据 或 
实施 数据 恢复 等 。 如 图 4. 36 所 示 ,这 个 检测 过 程 是 反复 循环 进行 的 。 


[下 击 识别 模块 | 一 | 入 侵 检测 | 监测 


攻击 处 理 模块 


图 4.36 实时 入 侵 检测 过 程 


事后 人 侵 检测 是 根据 计算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 ,判断 是 否 发 生 了 攻 
击 行为 ,如 果 有 , 则 转 和 人 攻击 处 理 模块 处 理 。 事 后 人 侵 检测 通常 由 网 络 管理 人 员 定 期 或 不 定 
期 地 进行 。 图 4. 37 为 事后 人 侵 检 测 的 过 程 。 


历史 记录 


[ 牙 击 识别 模 块 | 一 | ”入 侵 检测 ”| 


攻击 处 理 模块 
图 4.37 事后 人 侵 检测 的 过 程 


4. 入 侵 检 测 系 统 的 基本 结构 


人 入侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 来 自 外 部 或 内 部 的 攻击 ,扩展 了 系统 管理 
员 的 安全 管理 能 力 ( 如 安全 审计 ,监视 .攻击 识别 及 其 


响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 如 图 4. 38 本 i 
的 和 数据 ,| 据 | 数据 _| 据 | 事 件 _| 果 | 结果 
所 示 , 人 侵 检测 系统 的 主要 工作 就 是 从 信息 系统 的 若 涡 号 i 

干 关 键 点 上 收集 信息 ,然后 分 析 这 些 信 息 , 用 来 得 到 网 集 术 型 
络 中 有 无 违反 安全 策略 的 行为 和 遭 到 效 击 的 迹象 。 图 4. 38 入侵 检测 系统 的 通用 模型 
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和 信 侵 检测 系统 的 这 个 模型 比较 粗略 。 但 是 它 表明 数据 收集 、 数 据 分 析 和 处 理 响应 是 一 
个 入 侵 检测 系统 的 最 基本 部 件 。 


4.4.2 信息 收集 与 数据 分 析 


入 侵 检测 的 第 一 步 是 在 信息 系统 的 一 些 关 键 点 上 收集 信息 。 这 些 信息 就 是 入 侵 检测 系 
统 的 输入 数据 。 


1. 数据 收集 的 内 容 


入 侵 检测 系统 收集 的 数据 一 般 有 如 下 4 个 方面 : 

1) 主机 和 网 络 日 志文 件 

主机 和 网 络 日 志文 件 中 记录 了 各 种 行为 类 型 ,每 种 行为 类 型 又 包含 不 同 的 信息 。 例 如 ， 
记录 “用 户 活动 ?类 型 的 日 志 ,就 包含 登录 .用 户 ID 改变 .用 户 对 文件 的 访问 、 授 权 和 认证 信 
息 等 内 容 。 这 些 信息 包含 了 发 生 在 主机 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 证 据 , 留 下 黑客 
的 踪迹 。 通 过 查看 日 志文 件 , 能 够 发 现成 功 的 入 侵 或 人 侵 企 图 ,并 很 快 地 启动 响应 的 应 急 响 
应 程序 。 因 此 ,充分 利用 主机 和 网 络 日 志文 件 信息 是 检测 入 侵 的 必要 条 件 。 

2) 目录 和 文件 中 的 不 期 望 的 改变 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 。 包 含 重要 信息 的 文件 和 私密 数据 文 
件 经 常 是 黑客 修改 或 破坏 的 目标 。 黑 客 经 常 蔡 换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 
文件 ,同时 为 了 隐蔽 他 们 在 系统 中 的 活动 痕迹 ,还 会 尽力 替换 系统 程序 或 修改 系统 日 志文 
件 。 因 此 ,目录 和 文件 中 的 不 期 望 的 改变 (包括 修改 .创建 和 删除 ) ,特别 是 那些 正常 情况 下 
限制 访问 的 对 象 ,往往 就 是 入 侵 发 生 的 指示 和 信号 。 

3) 程序 执行 中 的 不 期 望 行为 

每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 都 运行 在 特定 权限 的 环境 
中 ,进程 的 行为 由 它 运行 时 执行 的 操作 来 表现 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程 
序 和 数据 文件 等 ;操作 执行 的 方式 不 同 , 利 用 的 系统 资源 也 就 不 同 。 

操作 包括 计算 .文件 传输 .设备 与 网 络 间 其 他 进程 的 通信 。 黑 客 可 能 会 将 程序 或 服务 的 
运行 分 解 ,从 而 导致 它 的 失败 ,或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 因 此 ,一 个 进程 
出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 人 侵 本 系统 。 

4) 物理 形式 的 人 侵 信 息 

黑客 总 是 想方设法 (如 通过 网 络 上 由 用 户 私 自 加 上 去 的 不 安全 ( 即 未 授权 的 ) 设 备 ) 去 突 
破 网 络 的 周边 防卫 ,以 便 能 够 在 物理 上 访问 内 部 网 ,在 内 部 网 上 安装 他 们 自己 的 设备 和 软 
件 。 例 如 ,用 户 在 家 里 可 能 安装 调制 解 调 器 以 访问 远程 办 公 室 ,那么 这 一 拨号 访问 就 成 了 威 
胁 网 络 安全 的 后 门 。 黑 客 就 会 利用 这 个 后 门 来 访问 内 部 网 ,从 而 越过 了 内 部 网 络 原 有 的 防 
护 措 施 ,然后 捕获 网 络 流量 ,进而 攻击 其 他 系统 ,并 偷 取 敏感 的 私有 信息 等 。 


2. 入 侵 检 测 系 统 的 数据 收集 机 制 


准确 性 、 可 靠 性 和 效率 是 入 侵 检 测 系 统 数据 收集 机 制 的 基本 指标 ,在 IDS 中 占据 着 举 
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足 轻 重 的 位 置 。 如 果 收 集 的 数据 时 延 较 大 ,检测 就 会 失去 作用 :如 果 数 据 不 完整 ,系统 的 检 
测 能 力 就 会 下 降 ;如 果 由 于 错误 或 入 侵 者 的 行为 致使 收集 的 数据 不 正确 ,IDS 就 会 无 法 检测 
到 某 些 入 侵 , 给 用 户 以 安全 的 假象 。 

1) 基于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 

基于 主机 的 IDS 是 在 每 台 要 保护 的 主机 后 台 运 行 一 个 代理 程序 ,检测 主机 运行 日 志 中 
记录 的 未 经 授权 的 可 疑 行径 ,检测 正在 运行 的 进程 是 否 合法 并 及 时 做 出 响应 。 

基于 网 络 的 人 侵 检测 系统 是 在 连接 过 程 中 监视 特定 网 段 的 数据 流 ,查找 每 一 数据 包 内 
隐藏 的 恶意 入 侵 , 对 发 现 的 人 侵 做 出 及 时 的 响应 。 在 这 种 系统 中 ,使 用 网 络 引擎 执行 监控 任 
务 。 图 4. 39 中 给 出 了 网 络 引擎 所 处 的 几 个 可 能 位 置 。 


i 1 
| 子 网 1 | 
Web ' © ' 
服务 器 | | 
I El 
b 
1 
ee 控制 人 | | | ° 
| 1 
| 子 网 3 ' 
加 网 络 引擎 | 〇 ”内 部 网 络 | 
|! 


图 4.39 基于 网 络 的 IDS 中 网 络 引 擎 的 配置 


网 络 引 警 所 处 位 置 不 同 ,所 起 的 作用 不 同 : 

”网 络 引擎 配置 在 防火 墙 内 ,可 以 监测 渗透 过 防火 墙 的 攻击 。 

。 网 络 引擎 配置 在 防火 墙 外 的 非 军 事 区 ,可 以 监测 对 防火 墙 的 攻击 。 

”网 络 引擎 配置 在 内 部 网 络 的 各 临界 网 段 , 可 以 监测 内 部 的 攻击 。 

控制 台 用 于 监控 全 网 络 的 网 络 引擎 。 为 了 防止 假扮 控制 台 入 侵 或 拦截 数据 ,在 控制 台 
与 网 络 引 擎 之 间 应 创建 安全 通道 。 

基于 网 络 的 入 侵 检测 系统 主要 用 于 实时 监控 网 络 关 键 路 径 。 它 的 隐蔽 性 好 、` 视 野 宽 、 侦 
测速 度 快 .占用 资源 少 、 实 施 简便 ,并 且 还 可 以 用 单独 的 计算 机 实现 ,不 增加 主机 负担 。 但 难 
于 发 现 所 有 数据 包 , 对 于 加 密 环 境 无 能 为 力 , 用 在 交换 式 以 太 网 上 比较 困难 。 

基于 主机 的 IDS 提供 了 基于 网 络 的 IDS 不 能 提供 的 一 些 功能 ,如 二 进 制 完整 性 检查 、 
记录 分 析 和 非法 进程 关闭 等 。 同时 由 于 不 受 交 换 机 隔离 的 影响 ,在 交换 网 络 中 非常 有 
用 。 但 是 它 对 网 络 流量 不 敏感 ,并 且 由 于 运行 在 后 台 , 不 能 访问 被 保护 系统 的 核心 功能 
(不 能 将 攻击 阻挡 在 协议 层 之 外 )。 它 的 内 在 结构 没有 任何 束缚 ,并 可 以 利用 操作 系统 提 
供 的 功能 ,结合 异常 分 析 . 较 准确 地 报告 攻击 行为 ,而 不 是 根据 网 上 收集 到 的 数据 包 去 猜 
测 发 生 的 事件 。 但 是 它们 往往 要 求 为 不 同 的 平台 开发 不 同 的 程序 ,从 而 增加 了 主机 的 
负担 。 

总 的 看 来 ,单纯 地 使 用 基于 主机 的 入 侵 检测 或 基于 网 络 的 入 侵 检 测 ,都 会 造成 主动 防御 

“ 225 。 


体系 的 不 全 面 。 但 是 ,由 于 它们 具有 互补 性 ,所 以 将 两 种 产品 结合 起 来 ,无 颖 地 部 署 在 网 络 
内 ,就 会 构成 综合 了 两 者 优势 的 主动 防御 体系 , 既 可 以 发 现 网 段 中 的 攻击 信息 ,又 可 以 从 系 
统 日 志 中 发 现 异 常情 况 。 这 种 系统 一 般 为 分 布 式 ,由 多 个 部 件 组 成 。 
2) 分 布 式 与 集中 式 数据 收集 机 制 
分 布 式 IDS 收集 的 数据 来 自 一 些 固定 位 置 ,而 与 受 监视 的 网 元 数量 无 关 。 集 中 式 IDS 
收集 的 数据 来 自 一 些 与 受 监视 的 网 元 数量 有 一 定 比 例 关 系 的 位 置 。 
3) 直接 监控 和 间接 监控 
IDS 从 它 所 监控 的 对 象 处 直接 获得 数据 , 称 为 直接 监控 ;反之 ,如 果 IDS 依赖 一 个 单独 
的 进程 或 工具 获得 数据 , 则 称 为 间接 监控 。 
就 检测 入侵 行为 而 言 ,直接 监控 要 优 于 间接 监控 ,这 是 因为 : 
。 从 非 直接 数据 源 获 取 的 数据 在 被 IDS 使 用 之 前 ,入 侵 者 还 有 进行 修改 的 潜在 机 会 。 
。 非 直接 数据 源 可 能 无 法 记录 某 些 事 件 , 例 如 它 无 法 访问 监视 对 象 的 内 部 信息 。 
。 在 间接 监控 中 ,数据 一 般 都 是 通过 某 种 机 制 ( 如 编写 审计 代码 ) 生 成 的 ,但 这 些 机 制 
并 不 满足 IDS 的 具体 要 求 ,因而 从 间接 数据 源 获得 的 数据 量 要 比 从 直接 数据 源 所 获 
得 的 大 得 多 。 并 且 间 接 监 控 机 制 的 可 伸缩 性 小 ,一 旦 主机 及 其 内 部 被 监控 要 素 增 
加 ,过 滤 数 据 的 开销 就 会 降低 监控 主机 的 性 能 。 
。 间接 数据 源 的 数据 从 产生 到 IDS 访问 之 间 有 一 个 时 延 。 
但 是 由 于 直接 监控 操作 的 复杂 性 ,目前 的 IDS 产品 中 只 有 不 足 20% 使 用 了 直接 监控 
机 制 。 
4) 外 部 探测 器 和 内 部 探测 器 
外 部 探测 器 的 监控 组 件 ( 程 序 ) 独 立 于 被 监测 组 件 ( 硬 件 或 软件 ) 。 内 部 探测 器 的 监控 组 


件 ( 程 序 ) 附 加 于 被 监测 组 件 ( 硬 件 或 软件 )。 表 4. 10 给 出 了 它们 的 优 缺 点 比较 。 
表 4.10 外 部 探测 器 和 内 部 探测 器 的 优 缺 点 
比较 内 容 外 部 探测 器 内 部 探测 器 
要 嵌入 被 监控 程序 中 ,修改 被 监控 程序 
时 容易 引进 错误 。 
对 策 : 探测 器 代码 尽量 短 。 
不 是 分 离 进程 ,不 易 被 禁止 或 修改 


。 代理 消耗 了 过 量 资源 
。 库 调用 错误 地 修改 了 某 些 参数 ; 
。 有 被 人 侵 者 修改 的 潜在 可 能 


错误 引入 和 


好 。 

可 实现 性 、 可 | 。 探测 器 程序 与 被 监控 程序 分 离 ; 
使 用 性 和 可 | 。 从 主机 上 进行 修改 .添加 或 删除 等 较 
维护 性 容易 ; 

。 可 以 利用 任何 合适 的 编程 语言 


需要 集成 到 被 监控 程序 中 ,难度 较 大 ; 
需要 使 用 与 被 监控 程序 相同 的 编程 
语言 ， 


设计 要 求 高 ,修改 和 升级 难度 大 


数据 的 产生 和 使 用 之 间 的 时 延 小 ; 
不 是 分 离 进程 ,避免 了 创建 进程 的 主机 
开销 


大 


括 轴 数据 生成 和 使 用 之 问 存在 时 延 
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比较 内 容 外 部 探测 器 内 部 探测 器 
差 。 
ee 。 只 能 从 “外面 "监控 程序 ， a ee 
完备 性 ”只 能 访问 外 部 可 以 获得 的 数据 ,获取 能 | ”下 以 入 着 在 攻 失控 宗 人 的 任何 作客 ， 
力 有 限 如 时 
Ee 只 能 根据 可 获得 的 数据 作出 基于 经 验 的 |g 
猜测 
3. 数据 分 析 


数据 分 析 是 IDS 的 核心 , 它 的 功能 就 是 对 从 数据 源 提供 的 系统 运行 状态 和 活动 记录 进 
行 同步 .整理 ,组织 .分 类 以 及 各 种 类 型 的 细致 分 析 , 提 取 其 中 包含 的 系统 活动 特征 或 模式 ， 
用 于 对 正常 和 异常 行为 的 判断 。 

入 侵 检 测 系统 的 数据 分 析 技术 依 检测 目标 和 数据 属性 ,分 为 异常 发 现 技术 和 模式 发 现 
技术 两 大 类 。 最 近 几 年 还 出 现 了 一 些 通用 的 技术 。 下 面 分 别 进行 介绍 。 

1) 异常 发 现 技术 

异常 发 现 技术 用 在 基于 异常 检测 的 IDS 中 。 如 图 4. 40 所 示 , 在 这 类 系统 中 ,观测 到 的 
不 是 已 知 的 入 侵 行 为 ,而 是 所 监视 通信 系统 中 
的 异常 现象 。 如 果 建 立 了 系统 的 正常 行为 轨 
迹 , 则 在 理论 上 就 可 以 把 所 有 与 正常 轨迹 不 同 下 习 器 
的 系统 状态 视 为 可 疑 企图 。 由 于 正常 情况 具 
有 一 定 的 范围 ,因此 正确 地 选择 异常 阔 值 和 特 
征 ,决定 何 种 程度 才 是 异常 ,是 异常 发 现 技术 图 4.40 异常 检测 模型 
的 关键 。 

异常 检测 只 能 检测 出 那些 与 正常 过 程 具有 较 大 偏差 的 行为 。 由 于 对 各 种 网 络 环境 的 适 
应 性 较 弱 , 且 缺 乏 精确 的 判定 准则 ,异常 检测 有 可 能 出 现 虚报 现象 。 

异常 发 现 技术 如 表 4. 11 所 示 。 其 中 ,自学 习 系统 通过 学 习 事 例 构 建 正 常 行为 模型 ,又 
可 分 为 时 序 和 非 时 序 两 种 ;可 编程 系统 需要 通过 程序 测定 异常 事件 ,让 用 户 知道 哪些 是 足以 
破坏 系统 安全 的 异常 行为 ,又 可 分 为 描述 统计 和 缺 省 否定 两 类 。 

表 4.11 异常 发 现 技术 

法 


型 方 
| 规则 建 模 
| 描述 统计 


人 工 神经 网 络 


系统 名 称 


Wisdom &. Sense 


非 时 序 


IDES. NIDES.EMERRALD.JiNao. Haystack 


时 序 


Hyperview 


0 


系统 名 称 
MIDAS.NADIR，Haystack 


方 
简单 统计 
描述 统计 | 基于 简单 规则 


法 


NSM 


可 编程 型 


| 门限 Computer-watch 
状态 序列 建 模 DPEM .Janus,., Bro 


2) 模式 发 现 技 术 
模式 发 现 又 称 特征 检测 或 滥用 检测 。 如 图 4. 41 所 示 ,它们 是 基于 已 知 系统 缺陷 和 入 侵 


模式 , 即 事先 定义 了 一 些 非法 行为 ,然后 将 观 
察 现象 与 之 比较 做 出 判断 。 这 种 技术 可 以 准 
确 地 检测 具有 某 些 特征 的 攻击 ,但 是 由 于 过 度 EEC 
依赖 实现 定义 好 的 安全 策略 ,而 无 法 检测 系统 
未 知 的 攻击 行为 ,因而 可 能 产生 漏 报 。 

模式 发 现 技术 对 确 知 的 决策 规则 通过 编 图 4.41 模式 发 现 模型 
程 实现 ,常用 的 技术 有 如 下 4 种 。 

(1) 状态 建 模 : 将 入 侵 行为 表示 成 许多 个 不 同 的 状态 。 如 果 在 观察 某 个 可 疑 行为 期 
间 , 所 有 状态 都 存在 , 则 判定 为 恶意 人 侵 。 状 态 建 模 从 本 质 上 来 讲 是 时 间 序列 模型 ,可 以 再 
细 分 为 状态 转换 和 Petri 网 ,前 者 将 人 侵 行为 的 所 有 状态 形成 一 个 简单 的 遍历 链 ,后 者 将 所 
有 的 状态 构成 一 个 更 广义 的 树 形 结构 的 Petri 网 。 

(2) 串 匹 配 : 通过 对 系统 之 间 传输 的 或 系统 自身 产生 的 文本 进行 子 串 匹配 实现 。 该 方 
法 灵活 性 差 , 但 易于 理解 ,目前 有 很 多 高 效 的 算法 ,其 执行 速度 很 快 。 

(3) 专家 系统 : 可 以 在 给 定 和 人 侵 行为 描述 规则 的 情况 下 ,对 系统 的 安全 状态 进行 推理 。 
一 般 情况 下 ,专家 系统 的 检测 能 力 强大 ,灵活 性 也 很 高 ,但 计算 成 本 较 高 ,通常 以 降低 执行 速 
度 为 代价 。 

(4) 基于 简单 规则 : 类 似 于 专家 系统 ,但 相对 简单 一 些 ,执行 速度 快 。 

3) 混合 检测 

近 几 年 来 ,混合 检测 日 益 受 到 人 们 的 重视 。 这 类 检测 在 做 出 决策 之 前 , 既 分 析 系 统 的 正 
常 行为 ,同时 还 观察 可 疑 的 入侵 行为 ,所 以 判断 更 全 面 ,准确 、 可 靠 。 它 通常 根据 系统 的 正常 
数据 流 背 景 来 检测 人 侵 行为 , 故 也 有 人 称 其 为 “启发 式 特征 检测 ”。 属 于 这 类 检测 的 技术 有 
以 下 一 些 : 

。 人 工 免 疫 方 法 


4. 入 侵 检 测 系 统 的 特征 库 


IDS 要 有 效 地 捕 提 入 侵 行为 ,必须 拥有 一 个 强大 的 入 侵 特 征 (signature) 数 据 库 ,这 就 如 
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同 公 安 部 门 必 须 拥 有 健全 的 罪犯 信息 库 一 样 。 
IDS 中 的 特征 就 是 指 用 于 判别 通信 信息 种 类 的 样板 数据 ,通常 分 为 多 种 ,以 下 是 一 些 典 
型 情况 及 其 识别 方法 。 
。 来 自 保留 IP 地 址 的 连接 企图 : 可 通过 检查 IP 报头 (IP header) 的 来 源 地 址 识别 。 
。 带 有 非法 TCP 标志 联合 物 的 数据 包 : 可 通过 TCP 报头 中 的 标志 集 与 已 知 正 确 和 错 
误 标 记 联 合 物 的 不 同 点 来 识别 。 
。 含有 特殊 病毒 信息 的 E-mail: 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 的 
主题 信息 来 识别 ,或 者 通过 搜索 特定 名 字 的 外 延 来 识别 。 
。 查询 负载 中 的 DNS 缓冲 区 溢出 企图 : 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 来 识 
别 。 另 外 一 个 方法 是 在 负载 中 搜索 "过 代码 利用 ”Cexploit shellcode) 的 序列 代码 
组 合 。 
。 对 POP3 服务 器 大 量 发 出 同一 命令 而 导致 DoS 攻击 : 通过 跟踪 记录 某 个 命令 连续 
发 出 的 次 数 ,看 看 是 否 超过 了 预 设 上 限 , 而 发 出 报警 信息 。 
。 未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 : 通过 创建 具备 
状态 跟踪 的 特征 样板 以 监视 成 功 登 录 的 FTP 对 话 , 发 现 未 经 验证 却 发 出 命令 的 入 
侵 企 图 。 
显然 ,特征 的 涵盖 范围 很 广 , 有 简单 的 报头 域 数值 .有 高 度 复杂 的 连接 状态 跟踪 ,有 扩展 
的 协议 分 析 。 
此 外 ,不 同 的 IDS 产品 具有 的 特征 功能 也 有 所 差异 。 例 如 ,有 些 网 络 IDS 系统 只 允许 
很 少 地 定制 存在 的 特征 数据 或 者 编写 需要 的 特征 数据 ,另外 一 些 则 人 允许 在 很 宽 的 范围 内 定 
制 或 编写 特征 数据 ,甚至 可 以 是 任意 一 个 特征 ;一 些 IDS 系统 ,只 能 检查 确定 的 报头 或 负载 
数值 ,另外 一 些 则 可 以 获取 任何 信息 包 的 任何 位 置 的 数据 。 


4.4.3 响应 与 报警 策略 
1. 响应 


早期 的 入 侵 检 测 系 统 的 研究 和 设计 把 主要 精力 放 在 对 系统 的 监控 和 分 析 上 ,而 把 响应 
的 工作 交 给 用 户 完 成 。 现 在 的 人 侵 检 测 系 统 都 提供 响应 模块 ,并 提供 主动 响应 和 被 动 响应 
两 种 响应 方式 。 一 个 好 的 入 侵 检测 系统 应 该 让 用 户 能 够 裁减 定制 其 响应 机 制 ,以 符合 特定 
的 需求 环境 。 

1) 主动 啊 应 

在 主动 响应 系统 中 ,系统 将 自动 或 以 用 户 设置 的 方式 阻 断 攻击 过 程 或 以 其 他 方式 影响 
攻击 过 程 ,通常 可 以 选择 的 措施 如 下 : 

。 针对 入 侵 者 采取 的 措施 。 

。 修正 系统 。 

。 收集 更 详细 的 信息 。 

2) 被 动 响应 

在 被 动 响应 系统 中 ,系统 只 报告 和 记录 发 生 的 事件 。 
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2. 报警 


检测 到 入 侵 行 为 需要 报警 。 具 体 报警 的 内 容 和 方式 需要 根据 整个 网 络 的 环境 和 安全 需 
要 确定 。 例 如 : 


。 对 一 般 性 服务 企业 ,报警 集中 在 已 知 的 有 威胁 的 攻击 行为 上 。 
。 对 关键 性 服务 企业 ,需要 将 尽 可 能 多 的 报警 记录 下 来 并 对 部 分 认定 的 报警 进行 实时 
反馈 。 


4.4.4 入 侵 检 测 器 的 部 署 与 设置 


入 侵 检测 器 是 和 人 侵 检测 系统 的 核心 。 和 人 侵 检测 器 部 署 的 位 置 直 接 影响 人 侵 检测 系统 的 
工作 性 能 。 在 规划 一 个 人 侵 检测 系统 时 ,首先 要 考虑 人 侵 检 测 器 的 部 署 位 置 。 显 然 , 在 基于 
网 络 的 人 侵 检测 系统 中 和 在 基于 主机 的 人 侵 检 测 系统 中 ,部 署 的 策略 不 同 。 


1. 在 基于 网 络 的 入 侵 检 测 系 统 中 部 署 入 侵 检 测 器 


基于 网 络 的 入 侵 检测 系统 主要 检测 网 络 数据 报 文 , 因 此 一 般 将 检测 器 部 署 在 靠近 防火 
墙 的 地 方 。 具 体 做 法 有 如 图 4. 42 所 示 的 几 个 位 置 。 


关键 子 网 

内 部 网 检测 器 (5) 
ce Cs rl 
检测 器 (3)(4) 检测 器 (1) 检测 器 (2)(4) 


图 4.42 基于 网 络 的 入 侵 检测 器 的 部 署 


1) DMZ 区 

在 这 里 ,可 以 检测 到 的 攻击 行为 是 所 有 针对 向 外 提供 服务 的 服务 器 的 攻击 。 由 于 DMZ 
中 的 服务 器 是 外 部 可 见 的 ,因此 在 这 里 检测 最 为 需要 。 同 时 ,由 于 DMZ 中 的 服务 器 有 限 ， 
所 以 针对 这 些 服务 器 的 检测 可 以 使 人 侵 检测 器 发 挥 最 大 优势 。 但 是 ,在 DMZ 中 ,检测 器 会 
暴露 在 外 部 而 失去 保护 ,容易 遭受 攻击 ,导致 无 法 工作 。 

2) 内 网 主干 (防火 墙 内 侧 ) 

将 检测 器 放 到 防火 墙 的 内 侧 , 有 如 下 几 点 好 处 : 

。 检测 器 比 放 在 DMZ 中 安全 。 


。 所 检测 到 的 都 是 已 经 渗透 过 防火 墙 的 攻击 行为 。 从 中 可 以 有 效 地 发 现 防 火 墙 配置 
的 失误 。 


。 可 以 检测 到 内 部 可 信用 户 的 越权 行为 。 
。 由 于 受 干 扰 的 机 会 少 ,报警 几率 也 小 。 
3) 外 网 入 口 (防火 墙 外 侧 ) 


这 种 部 署 的 优势 如 下 : 
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”可 以 对 针对 目标 网 络 的 攻击 进行 计数 ,并 记录 最 为 原始 的 数据 包 。 

。 可 以 记录 针对 目标 网 络 的 攻击 类 型 。 

但 是 ,检测 器 部 署 在 外 网 人 口 不 能 定位 攻击 的 源 和 目的 地 址 ,系统 管理 员 在 处 理 攻击 行 
为 上 也 有 难度 。 

4) 在 防火 墙 的 内 外 都 放置 

这 种 位 置 既 可 以 检测 到 内 部 攻击 ,又 可 以 检测 到 外 部 攻击 .并 且 无 须 猜 测 攻击 是 否 穿越 
防火 墙 。 但 是 ,这 种 部 署 的 开销 较 大 。 在 经 费 充足 的 情况 下 是 最 理想 的 选择 。 

5) 关键 子 网 

这 个 位 置 可 以 检测 到 对 系统 关键 部 位 的 攻击 ,将 有 限 的 资源 用 在 最 值得 保护 的 地 方 , 获 
得 最 大 效益 /投资 比 。 


2. 在 基于 主机 的 入 侵 检 测 系 统 中 部 署 入 侵 检测 器 


基于 主机 的 入 侵 检测 系统 通常 是 一 个 程序 。 在 基于 网 络 的 入 侵 检 测 器 的 部 署 和 配置 完 
成 后 ,基于 主机 的 入 侵 检 测 将 部 署 在 最 重要 、 最 需要 保护 的 主机 上 。 


3. 入 侵 检 测 系 统 的 设置 


网 络 安全 需要 各 个 安全 设备 的 协同 工作 和 正确 设置 。 由 于 入 侵 检测 系统 位 于 网 络 体系 
中 的 高 层 ,高 层 应 用 的 多 样 性 导致 了 入 侵 检 测 系统 分 析 的 复杂 性 和 对 计算 资源 的 高 需求 。 
在 这 种 情形 下 ,对 和 人 侵 检测 设备 进行 合理 的 优化 设置 ,可 以 使 人 侵 检测 系统 更 有 效 地 运行 。 

图 4. 43 是 和 人 侵 检测 系统 设置 的 基本 过 程 。 可 以 看 出 ,入 侵 检 测 系 统 的 设置 需要 经 过 多 
次 回溯 ,反复 调整 。 


确定 安全 需求 


斑 拓扑 变更 或 安全 更 新 ? 一 


图 4. 43 入侵 检 测 系统 设置 的 基本 过 程 
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4. 报警 策略 


检测 到 入 侵 行为 时 需要 报警 。 具 体 报 警 的 内 容 和 方式 需要 根据 整个 网 络 的 环境 和 安全 
需要 确定 。 例 如 : 
。 对 一 般 性 服务 企业 ,报警 集中 在 已 知 的 有 威胁 的 攻击 行为 上 。 
。 对 关键 性 服务 企业 ,需要 将 尽 可 能 多 的 报警 记录 下 来 并 对 部 分 认定 的 报警 进行 实时 
反馈 。 


4.5 网 络 诱 骗 


防火 墙 以 及 和 人 侵 检 测 都 是 被 动 防御 技术 ,而 网 络 诱骗 是 一 种 主动 防御 技术 。 表 4. 12 为 
两 种 防御 系统 之 间 的 工作 特点 比较 。 
表 4.12 主动 防御 与 被 动 防御 的 比较 


项 目 被 动 防御 系统 主动 防御 系统 
主动 性 被 动 地 “守株待兔 " 式 防御 ”| 主动 跟踪 攻击 者 
攻防 方式 ”| 攻击 者 主动 选择 攻击 目标 ，| 事先 掌握 攻击 者 的 行为 ,进行 跟踪 ,有 效 制止 攻击 者 的 破坏 
a 可 随意 攻击 行为 
能 对 攻击 者 造成 威胁 和 损害 : 
。 诱惑 黑客 攻击 虚假 网 络 而 忽视 真正 的 网 络 ; 
对 攻击 者 | 。 加 重 黑客 的 工作 量 , 消 耗 其 资源 ,让 系统 管理 员 有 足够 
的 二 训 对 攻击 方 不 构成 威胁 全 
。 收集 黑客 信息 和 企图 ,以 便 系统 进行 安全 防护 和 检测 ; 
。 为 起 诉 留 下 证 据 


4.5.1 蜜 钢 主机 技术 


网 络 诱骗 技术 的 核心 是 蜜 钠 (honey pot)。 它 是 运行 在 Internet 上 的 充满 诱惑 力 的 计 
算 机 系统 。 这 种 计算 机 系统 有 如 下 一 些 特点 : 

。 蜜 饶 是 一 个 包含 漏洞 的 诱骗 系统 , 它 通 过 模拟 一 个 或 多 个 易 受 攻击 的 主机 ,给 攻击 

者 提供 一 个 容易 攻击 的 目标 。 

。 蜜 钠 不 向 外 界 提供 真正 有 价值 的 服务 。 

。 所 有 与 蜜 钠 的 连接 尝试 都 被 视 为 可 疑 的 连接 。 

这 样 , 密 饶 就 可 以 实现 如 下 目的 : 

。 引诱 攻击 ,拖延 对 真正 有 价值 目标 的 攻击 。 

。 消耗 攻击 者 的 时 间 , 以 便 收集 信息 ,获取 证 据 。 

下 面 介 绍 蜜 钠 的 3 种 主要 形式 。 


1. 空 系统 


空 系统 是 一 种 没有 任何 虚假 和 模拟 的 环境 的 完全 真实 的 计算 机 系统 ,有 真实 的 操作 系 
=“ 3 


统 和 应 用 程序 ,也 有 真实 的 漏洞 。 这 是 一 种 简单 的 蜜 钠 主 机 。 
但 是 , 空 系统 (以 及 模拟 系统 ) 会 很 快 被 攻击 者 发 现 , 因 为 他 们 会 发 现 这 不 是 期 待 的 
目标 。 


2. 镜像 系统 


建立 一 些 提供 Internet 服务 的 服务 器 镜像 系统 ,会 使 攻击 者 感到 真实 ,也 就 更 具有 欺骗 
性 。 另 一 方面 ,由 于 是 镜像 系统 ,所 以 比较 安全 。 


3. 虚拟 系统 


虚拟 系统 是 在 一 台 真 实 的 物理 机 器 上 运行 一 些 仿真 软件 ,模拟 出 多 台 虚 拟 机 ,构建 多 个 
蜜 饶 主 机 。 这 种 虚拟 系统 不 但 逼真 ,而 且 成 本 较 低 ,资源 利用 率 较 高 。 此 外 ,即使 攻击 成 功 ， 
也 不 会 威胁 宿主 操作 系统 的 安全 。 


4.5.2 窗 网 技术 


蜜 网 (honey net) 技 术 也 称 陷阱 网 络 技术 。 它 由 多 个 蜜 铅 主 机 、 路 由 器 、 防 火 墙 .IDS、 审 
计 系 统 等 组 成 ,为 攻击 者 制造 一 个 攻击 环境 , 供 防御 者 研究 攻击 者 的 攻击 行为 。 


1. 第 一 代 蜜 网 
图 4. 44 为 第 一 代 蜜 网 的 结构 图 。 


有 蜜 网 子 网 
Linux Windows ool El 


密 锚 主机 密 继 主机 密 错 主机 ” 密 馈 主机 


图 4.44 第 一 代 蜜 网 的 结构 


下 面 对 其 中 各 部 件 的 作用 加 以 介绍 。 

(1) 防火 墙 : 用 于 隔离 内 网 和 外 网 ,防止 入 侵 者 以 蜜 网 作为 跳板 攻击 其 他 系统 。 其 配 
置 规则 为 : 不 限制 外 网 对 蜜 网 的 访问 ,但 需要 对 蜜 钠 主 机 对 外 的 连接 予以 控制 ,包括 : 

。 限制 对 外 连接 的 目的 地 。 

。 限制 蜜 色 主机 主动 对 外 连接 。 

。 限制 对 外 连接 的 协议 。 
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(2) 路 由 器 : 放 在 防火 墙 与 蜜 网 之 间 , 利 用 路 由 器 具有 的 控制 功能 来 弥补 防火 墙 的 不 
足 , 例 如 防止 地 址 欺骗 攻击 和 Dos 攻击 等 。 

(3) IDS: 是 蜜 网 中 的 数据 捕获 设备 ,用 于 检测 和 记录 网 络 中 可 疑 的 通信 连接 ,在 发 现 
可 疑 的 网 络 活动 时 报警 。 


2. 第 二 代 蜜 网 


图 4. 45 为 第 二 代 蜜 网 的 结构 图 。 


路 由 器 


[ = [ =s] I = 


加 
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集线器 


蜜 网 探测 器 受 保护 子 网 


图 4.45 第 二 代 蜜 网 的 结构 


第 二 代 蜜 网 技术 将 数据 控制 和 数据 捕获 集中 到 蜜 网 探测 器 中 进行 。 这 样 带 来 的 好 处 
如 下 : 
。 便 于 安装 和 管理 。 
” 隐蔽 性 更 强 。 
。 可 以 监控 非 授 权 活 动 。 
。 可 以 采取 积极 的 响应 方法 限制 非法 活动 的 效果 ,如 修改 攻击 代码 字 节 ,使 攻击 失 
效 等 。 


3. 第 三 代 蜜 网 


第 三 代 蜜 网 是 目前 正在 开发 的 蜜 网 技术 。 它 是 建立 在 物理 设备 上 的 分 布 式 虚拟 系统 ， 
如 图 4. 46 所 示 , 这 样 就 把 蜜 钠 、 数 据 控制 .数据 捕获 和 数据 记录 等 都 集中 到 一 台 物 理 设 


备 上 。 
虚拟 系统 | 虚拟 系统 | ”“… ”| 虚拟 系统 


图 4.46 第 三 代 蜜 网 结构 


4.5.3 常见 网 络 诱骗 工具 及 产品 
1. 蜜 钠 实现 工具 


1) winetd 
winetd 是 一 个 在 Windows 上 实现 蜜 色 的 简单 工具 。 它 安装 简单 ,界面 友好 ,适合 初学 
者 使 用 ;缺点 是 过 于 简单 ,并 不 能 真正 诱骗 攻击 者 进入 。 
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2) DTK 

DTK(Deception Tool Kit, 可 以 从 http://all. net/dtk/ 网 站 下 载 ) 是 用 C 语言 和 了 Perl 脚 
本 语言 写成 的 一 种 蜜 钠 工 具 软 件 , 能 在 支持 C 语言 和 Perl 的 系统 (UNIX) 上 运行 。 它 能 够 
监听 HTITP、FTP 和 Telnet 等 常用 服务 器 所 使 用 的 端口 .模拟 标准 服务 器 对 接收 到 的 请 求 
所 作出 的 响应 ,还 可 以 模拟 多 种 常见 的 系统 漏洞 。 其 不 足 之 处 是 : 模拟 不 太 人 逼真 ,构建 过 程 
麻烦 。 

3) Honeyd 

Honeyd( 可 以 从 http://www. citi. umich. edu/u/provos/honeyd 网 站 下 载 ) 是 一 个 专 
用 的 蜜 龟 构 建 软件 ,可 以 虚拟 多 种 主机 ,配置 运行 不 同 的 服务 和 操作 系统 。 


2. 蜜 网 实现 工具 


(1) 数据 控制 工具 : Jptable、snort_inline。 

(2) 数据 捕获 工具 : Termlog .Sebek2 、snort\Comlog 。 

(3) 数据 收集 工具 : Obfugator。 

(4) 数据 分 析 工 具 : Privmsg、TASK、WinInterrogate。 
以 上 工具 可 以 从 下 面 的 网 址 下 载 : http://project. honeynet. org/ 。 


习 题 
一 、 选 择 题 
1. 防火 墙 用 于 将 Internet 和 内 部 网 络 隔离 .是 。 
A. 防止 Internet 火灾 的 硬件 设施 B. 网 络 安全 和 信息 安全 的 软件 和 硬件 设施 
C. 保护 线路 不 受 破坏 的 软件 和 硬件 设施 D. 起 抗 电磁 干扰 作用 的 硬件 设施 
2. 防火 墙 最 主要 被 部 署 在 位 置 。 
A. 网 络 边界 B. 骨干 线路 C. 重要 服务 器 旁 D. 桌面 终端 
3. 下 列 关 于 防火 墙 的 说 法 中 错误 的 是 < 
A. 防火 墙 工作 在 网 络 层 B. 防火 墙 对 IP 数据 包 进 行 分 析 和 过 滤 
C. 防火 墙 是 重要 的 边界 保护 机 制 D. 部 署 防火 墙 ,就 解决 了 网 络 安全 问题 
4. 在 一 个 企业 网 中 ,防火墙 应 该 是 的 一 部 分 ,构建 防火 墙 时 首先 要 考虑 其 保护 的 范围 。 
A. 安全 技术 B. 安全 设置 C. 局 部 安全 策略 D. 全 局 安全 策略 
5. 一 般 而 言 ,Internet 防火 墙 建 立 在 一 个 网 络 的 6 
A. 内 部 子 网 之 间 传 送信 息 的 中 枢 B. 每 个 子 网 的 内 部 
C. 内 部 网 络 与 外 部 网 络 的 交叉 点 D. 部 分 内 部 网 络 与 外 部 网 络 的 结合 处 
6. 包 过 滤 型 防火 墙 从 原理 上 看 是 基于 进行 数据 包 分 析 的 技术 。 
A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 应 用 层 
7. 对 非 军事 DMZ 而 言 ,正确 的 解释 是 a 


A. DMZ 是 一 个 真正 可 信 的 网 络 部 分 
B. DMZ 网 络 访问 控制 策略 决定 允许 或 禁止 进入 DMZ 通信 
“ I 二 


有 


9 


10, 


Rs 


12, 


13. 


16. 


Me 


18. 


19. 


20. 


21. 


22. 


访问 。 


23. 


C. 允许 外 部 用 户 访 问 DMZ 系统 上 合适 的 服务 
D. 以 上 3 项 都 对 


对 动态 网 络 地 址 交换 (NAT) .不 正确 的 说 法 是 a 
A. 将 很 多 内 部 地 址 映射 到 单个 真实 地 址 B. 外 部 网 络 地 址 和 内 部 地 址 一 对 一 地 映射 
C. 每 个 连接 使 用 一 个 端口 D. 最 多 可 有 64 000 个 同时 的 动态 NAT 连接 
以 下 不 是 包 过 滤 防 火 墙 主要 过 滤 的 内 容 。 
A. 源 IP 地 址 B. 目的 IP 地址 
C. TCP 源 端 口 和 目的 端口 D. 时 间 
在 被 屏蔽 的 主机 体系 中 ,堡垒 主机 位 于 中 :所 有 的 外 部 连接 都 经 过 滤 路 由 器 到 它 上 面 去 。 
A. 内 部 网 络 B. 周边 网 络 C. 外 部 网 络 D. 自由 连接 
外 部 数据 包 经 过 过 滤 路 由 只 能 阻止 的 唯一 IP 欺骗 。 
A. 内 部 主机 伪装 成 外 部 主机 IP B. 内 部 主机 伪装 成 内 部 主机 IP 
C. 外 部 主机 伪装 成 外 部 主机 IP D. 外 部 主机 伪装 成 内 部 主机 IP 
IPSec 协议 工作 在 网 络 的 。 
A. 数据 链 路 层 B. 网 络 层 C. 应 用 层 D. 传输 层 
IPSec 协议 中 涉及 密 钥 管理 的 重要 协议 是 
A. IKE B. AH C 了 SP D. SSL 
.SSL 产生 会 话 密 钥 的 方式 是 。 
A. 从 密 钥 管理 数据 库 中 请 求 获得 B. 每 一 台 客 户 机 分 配 一 个 密 钥 的 方式 
C. 随机 由 客户 机 产生 并 加 密 后 通知 服务 器 ”D. 由 服务 器 产生 并 分 配给 客户 机 
.传输 层 保护 的 网 络 采用 的 主要 技术 是 建立 在 基础 上 的 
A， 可 靠 的 传输 服务 ,安全 套 接 字 层 (SSL) 协 议 
B. 不 可 靠 的 传输 服务 ,S-HTTP 协议 
C. 可 靠 的 传输 服务 ,S-HTTP 协议 
D. 不 可 靠 的 传输 服务 .安全套 接 字 层 (SSL) 协 议 
主要 用 于 加 密 机 制 的 协议 是 。 
A HTTP B, FIP C. Telnet D. SSL 
通常 所 说 的 移动 VPN 是 指 
A. Access VPN B. Intranet VPN C. Extranet VPN D. 以 上 均 不 是 
以 下 属于 第 二 层 的 VPN 隧道 协议 有 。 
A. IPSec BB PPIP C. GRE D. 以 上 均 不 是 
将 公司 与 外 部 供应 商 、 客 户 及 其 他 利益 相关 群体 相连 接 的 是 。 
A. 内 联网 VPN B. 外 联网 VPN C. 远程 接 入 VPN D. 无 线 VPN 
以 下 不 属于 隧道 协议 的 是 。 
NEPTP 了 L2TP C. TOP/WP D. IPSec 
以 下 不 属于 VPN 核心 技术 的 是 。 
A. 隧道 技术 B. 身份 认证 C. 日 志 记 录 D. 访问 控制 
通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 .提供 对 企业 内 部 网 或 外 部 网 的 远程 
A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 
L2TP 隧道 在 两 端的 VPN 服务 器 之 间 采 用 来 验证 对 方 的 身份 。 
A, Sol B. 数字 证 书 C. Kerberos D. 口令 握手 协议 CHAP 
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24. 


25. 


Ws 
2. 
3. 


入 侵 检 测 的 基本 方法 是 

A. 基于 用 户 行为 概率 统计 模型 的 方法 B. 基于 神经 网 络 的 方法 

C. 基于 专家 系统 的 方法 D. 以 上 都 正确 

关于 入 侵 检 测 技术 ,下 列 描述 中 错误 的 是 

A. 入侵 检测 系统 不 对 系统 或 网 络 造成 任何 影响 

B. 审计 数据 或 系统 日 志 信息 是 人 侵 检 测 系 统 的 一 项 主要 信息 来 源 

C. 入 侵 检测 信息 的 统计 分 析 有 利于 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 
D. 基于 网 络 的 人 侵 检测 系统 无 法 检查 加 密 的 数据 流 


、 填 空 题 


防火 墙 位 于 之 间 ,一 端 是 , 另 一 端 是 。 
防火 墙 系统 的 主要 体系 结构 有 体系 结构 、 体系 结构 和 体系 结构 。 
按 检 测 的 监控 位 置 划分 ,入 侵 检 测 系 统 可 分 为 基于 的 入 侵 检 测 系统 、 基 于 的 入 侵 


检测 系统 和 入 侵 检测 系统 。 


4. 


被 定义 为 通过 公用 网 络 建立 的 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 公用 网 络 的 安全 、 稳 


定 的 通道 。 
三 、 问 答题 


1 
2, 
3, 


在 组 建 Intranet 时 ,防火 墙 是 必需 的 吗 ? 为 什么 ? 

试 述 一 个 防火 墙 产 品 应 具备 哪些 基本 功能 。 

下 面 是 选择 防火 墙 时 应 考虑 的 一 些 因素 .请 按 你 的 理解 .将 它们 按 重要 性 排序 。 
被 保护 网 络 受 威胁 的 程度 ; 

受到 入 侵 , 网 络 的 损失 程度 ; 

网 络 管理 员 的 经 验 ; 

被 保护 网 络 的 已 有 安全 措施 ; 

网 络 需求 的 发 展 ; 

防火 墙 自身 管理 的 难 易 度 ; 

防火 墙 自身 的 安全 性 。 


. 列举 更 多 的 防火 墙 系统 结构 ,最 好 有 自己 的 创意 。 

. 查找 资料 ,叙述 防火 墙 测 试 的 内 容 和 方法 。 

. 查找 资料 ,叙述 防火 墙 选 型 的 基本 原则 和 具体 标准 。 

. 简 述 攻击 防火 墙 的 主要 手段 。 

. 查找 资料 , 简 述 目前 国内 外 防火 墙 技术 发 展 的 现状 和 自己 对 防火 墙 的 未 来 的 设想 。 

. 收集 资料 ,对 当前 常用 的 防火 墙 产品 进行 分 析 比 较 :, 详 细 描 述 其 中 的 3 种 防火 墙 产 品 的 用 法 以 及 升 


级 方法 。 


10. 
有。 


浏览 最 热门 的 3 个 防火 墙 技术 网 站 ,综述 目前 关于 防火 墙 讨 论 的 热点 问题 。 
有 一 个 内 部 网 (192. 168. 20. 0) 只 与 某 一 台 外 部 主机 (172. 1652. 55) 交 换 数 据 。 写 出 位 于 它们 之 间 


的 数据 包 过 滤 规则 。 


12: 
1 
14. 


比较 包 过 滤 、 网 络 地 址 转换 和 代理 技术 的 特点 以 及 适用 的 环境 。 
简 述 国内 外 物理 隔离 技术 的 现状 和 发 展 趋势 。 
浏览 网 站 ,列举 国内 有 关 物 理 隔离 设备 的 厂家 及 其 产品 的 特点 。 
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15. 收集 国内 外 有 关 网 络 隔离 技术 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 
16. 收集 国内 外 有 关 网 络 隔离 技术 的 最 新 动态 。 

17. 简 述 VPN 使 用 了 哪些 主要 技术 。 

18. 综述 有 关 和 侵 检 测 技术 的 各 种 定义 。 

19. 人 侵 检 测 系统 有 哪些 可 以 利用 的 数据 源 ? 

20. 试 构造 一 个 网 络 数据 包 的 截获 程序 。 

21. 试 述 入 侵 检测 系统 的 工作 原理 。 

22. 收集 资料 ,对 国内 外 主要 基于 网 络 的 人 侵 检 测 产 点 
23. 收集 资料 ,对 国内 外 主要 基于 主机 的 人 侵 检 测 产 点 
24. 分 析 和 侵 检测 系统 的 不 足 和 发 展 趋势 。 

25. 人 侵 检 测 技术 与 法 律 有 什么 关系 ? 

26. 简 述 蜜 钠 技 术 的 特殊 用 途 。 

27. 用 下 载 的 蜜 锻 工 具 构 造 一 个 简单 的 蜜 炙 系 统 。 
28. 收集 国内 外 有 关 和 信 侵 检测 、 网 络 诱骗 的 最 新 动态 。 


Et 


了 


进行 比较 。 
进行 比较 。 
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第 5 章 信息 系统 安全 管理 


信息 系统 是 复杂 的 系统 ,其 安全 的 运行 不 仅 与 技术 有 关 , 还 涉及 人 和 制度 。 因 此 ,从 用 
户 的 角度 看 ,更 需要 强调 三 分 技术 七 分 管理 。 

经 过 多 年 的 实践 和 研究 ,各 个 国家 以 及 组 织 , 都 已 形成 完善 的 信息 安全 管理 体系 和 方 
法 。 本 章 介 绍 信 息 系 统管 理 中 的 一 些 主要 环节 。 


5.1 信息 系统 应 急 响 应 


“智者 千 虑 , 必 有 一 失 。” 尽 管 已 经 为 信息 系统 的 防护 开发 了 许多 技术 ,但 是 很 难 没有 一 
点 跑 漏 ,何况 入 侵 者 也 是 一 些 技术 高 手 。 

系统 遭受 到 一 次 人 侵 , 就 面临 一 次 灾难 。 这 些 影响 信息 系统 安全 的 不 正当 行为 就 称 为 
事件 。 事 件 响 应 就 是 事件 发 生 后 所 采取 的 措施 和 行动 。 信 息 系 统 的 脆弱 ,加 上 入 侵 技术 的 
不 断 进化 ,使 得 入 侵 不 可 避免 。 因 此 ,安全 事件 响应 就 成 为 一 个 与 防火 墙 技 术 、 入 侵 检 测 技 
术 等 同样 重要 的 安全 保障 策略 和 手段 。 

1988 年 ,英里 斯 蠕虫 以 迅雷 不 及 掩 耳 之 势 肆 虐 互 联网 ,招致 上 千 台 计算 机 系统 的 骨 汝 ， 
造成 了 以 千 万 美元 计 的 损失 。 这 突如其来 的 灾难 给 人 们 敲 响 了 警钟 : 面 对 人 类 对 信息 系统 
依赖 程度 的 不 断 增强 ,对 付 和 信 侵 不 仅 需 要 防御 ,还 要 能 够 在 事件 发 生 后 进行 紧急 处 理 和 援 
助 。1989 年 ,在 美国 国防 部 的 资助 下 .CERT/CC(Computer Emergency Team/Call Center， 
计算 机 紧急 响应 组 /呼叫 中 心 ) 成 立 。 从 此 紧急 响应 被 摆 到 了 人 们 的 议事 桌 上 。 

一 般 说 来 ,每 个 使 用 信息 系统 的 组 织 都 应 当 有 一 套 应 急 响 应 机 制 。 该 机 制 应 包括 4 个 
基本 环节 : 

。 信息 系统 应 急 响 应 组 织 。 

。 信息 系统 安全 保护 制度 。 

。 信息 系统 应 急 预 案 。 

。 信息 系统 应 急 演练 。 


5.1.1 应 急 响 应 组 织 


应 急 响 应 组 织 的 主要 工作 如 下 : 

。 安全 事件 与 软件 安全 缺陷 分 析 研 究 。 

。 安全 知识 库 ( 包 括 漏洞 知识 、 入 侵 检测 等 ) 开 发 与 管理 。 

。 安全 管理 和 应 急 知识 的 教育 与 培训 。 

。 发 布 安全 信息 (如 系统 漏洞 与 补丁 ,病毒 警告 等 ) 。 

”安全 事件 紧急 处 理 。 

应 急 响应 组 织 包 括 应 急 保障 领导 小 组 和 应 急 技术 保障 小 组 。 应 急 保 障 领导 小 组 的 主要 
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职责 是 领导 与 协调 突 发 事件 与 自然 灾害 的 应 急 处 理 。 应 急 技术 保障 小 组 主要 解决 安全 事件 
的 技术 问题 ,如 物理 实体 和 环境 安全 技术 、 网 络 通信 技术 、 系 统 平台 技术 、 应 用 系统 技术 等 。 
当然 其 中 有 些 工作 也 可 以 进行 服务 外 包 。 


5.1.2 信息 系统 安全 保护 制度 


信息 系统 安全 保护 制度 主要 包括 如 下 4 个 方面 的 内 容 。 
。 信息 系统 安全 责任 制度 。 

。 信息 系统 安全 检测 制度 。 

。 信息 系统 安全 报告 制度 。 

。 信息 安全 行为 规范 。 


1. 信息 系统 安全 责任 制度 


信息 系统 安全 责任 制度 包括 如 下 方面 。 
1) 责任 到 人 


例如 《广东 省 计算 机 信息 系统 安全 保护 管理 规定 》( 经 2003 年 3 月 31 日 广东 省 人 民政 
府 第 十 届 4 次 常务 会 议 通过 ,2003 年 4 月 8 日 广东 省 人 民政 府 令 第 81 号 发 布 , 自 2003 年 6 
月 1 日 起 施行 ) 要 求 : “计算 机 信息 系统 使 用 单位 应 当 确 定 计 算 机 安全 管理 责任 人 ,建立 健 
全 安全 保护 制度 ,落实 安全 保护 技术 措施 ,保障 本 单位 计算 机 信息 系统 安全 ,并 协助 公安 机 
关 做 好 安全 保护 管理 工作 。” 

2) 确定 信息 系统 安全 保护 的 重点 部 门 

例如 ,对 于 一 个 地 区 ,应 当 把 下 列 计算 机 信息 系统 使 用 单位 为 重点 安全 保护 单位 : 

。 县 级 以 上 国家 机 关 、 国 防 单位 。 

。 银行、 证 券 、 能 源 、 交 通 、 邮 电 通 信 单 位 。 

。 国家 及 省 重点 科研 、 教 育 单位 。 

。 国有 大 中 型 企业 。 

。 互联 单位 、 接 入 单位 及 重点 网 站 。 

。 向 公众 提供 上 网 服务 的 场所 。 

3) 建立 信息 系统 安全 从 业 资质 .证 书 制度 

例如 ,《 广 东 省 计算 机 信息 系统 安全 保护 管理 规定 ) 要 求 : 

(1) 重点 安全 保护 单位 计算 机 安全 管理 责任 人 和 信息 审查 员 应 当 参 加 县 级 以 上 人 民政 
府 公安 机 关 认 可 的 安全 技术 培训 ,并 取得 安全 技术 培训 合格 证 书 。 

(2) 申请 安全 服务 资质 .应 当 具 备 以 下 条 件 : 

。 取得 相应 经 营 范围 的 营业 执照 。 

。 取得 安全 技术 培训 合格 证 书 的 专业 技术 人 员 不 少 于 10 人 ,其 中 大 学 本 科 以 上 学 历 

的 人 员 所 占 比 例 不 少 于 70%。 
” 负责 安全 服务 工作 的 管理 人 员 应 当 具 有 两 年 以 上 从 事 计算 机 信息 系统 安全 技术 领 
域 企 业 管理 工作 经 历 , 并 取得 安全 技术 培训 合格 证 书 。 
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。 有 与 其 从 事 的 安全 服务 业务 相 适 应 的 技术 装备 。 

。 有 与 其 从 事 的 安全 服务 业务 相 适 应 的 组 织 管理 制度 。 
。 法 律 法 规 规定 的 其 他 条 件 。 

4) 信息 安全 奖惩 制度 


例如 ,《 广 东 省 计算 机 信息 系统 安全 保护 管理 规定 》(2003) 要 求 :“ 计 算 机 信息 系统 使 用 
单位 应 当 将 计算 机 信息 系统 安全 保护 工作 纳入 内 部 检查 .考核 .评比 内 容 。 对 在 工作 中 成 绩 


突出 的 部 门 和 个 人 ,应 当 给 予 表彰 奖励 。 对 未 依法 履行 安全 保护 职责 或 违反 本 单位 安全 保 
护 制度 的 ,应 当 依 照 有 关 规 定 对 责任 人 员 给 予 行政 处 分 .” 


2. 信息 系统 安全 检测 制度 


信息 系统 维护 与 管理 人 员 要 定期 对 信息 系统 进行 安全 检测 , 防 患 于 未 然 , 包 括 定 期 检查 
下 列 内 容 : 

。 系统 重要 部 分 的 元 余 或 备份 措施 。 

”计算 机 病毒 防治 措施 。 

”网 络 攻击 防范 .追踪 措施 。 

。 安全 审计 和 预警 措施 。 

。 系统 运行 和 用 户 使 用 日 志 记 录 保 存 60 日 以 上 措施 。 

。 记录 用 户主 叫 电话 号 码 和 网 络 地 址 的 措施 。 

。 身份 登记 和 识别 确认 措施 。 

。 信息 群发 限制 和 有 害 数据 防治 措施 。 


3. 信息 系统 安全 报告 制度 


要 建立 信息 系统 安全 报告 制度 ,按照 有 关 规 定 , 向 有 关 部 门 报告 信息 系统 安全 运行 情况 
以 及 有 关 事 件 。 例 如 多 广东 省 计算 机 信息 系统 安全 保护 管理 规定 》2003) 要 求 "对 计算 机 信 
息 系统 中 发 生 的 重大 安全 事故 ,使 用 单位 应 当 采 取 应 急 措 施 ,保留 有 关 原 始 记录 ,在 24 小 时 
内 向 当地 县 级 以 上 人 民政 府 公安 机 关 报 告 .” 

4. 信息 安全 行为 规范 

通常 要 求 任何 单位 和 个 人 不 得 利用 计算 机 信息 系统 从 事 下 列 行为 : 

。 制作 、 复 制 、 查 阅 \ 传 播 有 害 信息 。 

。 侵犯 他 人 隐私 ,窃取 他 人 账号 .假冒 他 人 名 义 发 送信 息 ,或 者 向 他 人 发 送 垃圾 信息 。 

。 以 营利 或 者 非 正常 使 用 为 目的 ,未 经 允许 向 第 三 方 公开 他 人 电子 邮箱 地 址 。 

。 未 经 允许 修改 、 删 除 、 增 加 、 破 坏 计算 机 信息 系统 的 功能 、 程 序 及 数据 。 

。 危害 计算 机 信息 系统 安全 的 其 他 行为 。 


5.1.3 信息 系统 应 急 预 案 


1. 应 急 预 案 及 基本 内 容 


应 急 预 案 是 指 根据 不 同 的 突 发 紧急 事件 类 型 和 意外 情形 预先 制定 的 处 理 方案 。 应 急 预 
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案 一 般 要 包括 如 下 内 容 : 
。 执行 应 急 预 案 的 人 员 ( 姓 名 、 住 址 .电话 号 码 以 及 有 关 职 能 部 门 的 联系 方法 ) 。 
。 系统 紧急 事件 类 型 及 处 理 措施 的 详细 说 明 。 
。 应 急 处 理 的 具体 步骤 和 操作 顺序 。 
2. 常见 安全 事件 举例 


应 急 预 案 要 根据 安全 事件 的 类 型 进行 对 应 的 处 理 。 不同 的 组 织 中 ,信息 系统 安全 事件 


的 常见 类 型 有 所 不 同 , 工 作 人 员 应 当 根 据 行业 性 质 和 地 域 状 况 进行 具体 分 析 。 下 面 提供 一 
些 常见 的 安全 事件 类 型 供 参考 : 


。 物理 实体 及 环境 类 安全 事件 ,如 意外 停电 、 物 理 设备 丢失 、 火 灾 、 水 灾 等 。 
。 网 络 通信 类 安全 事件 : 如 网 络 蠕虫 侵害 等 。 

。 主机 系统 类 安全 事件 ,如 计算 机 病毒 .口令 丢失 等 。 

。 应 用 系统 类 安全 事件 ,如 客户 信息 丢失 等 。 


3. 应 急事 件 处 理 的 基本 流程 


1) 安全 事件 报警 

值班 人 员 发 现 紧 急 情 况 , 要 及 时 报告 。 报 告 要 对 安全 事件 进行 准确 描述 并 作 书 面 记 录 。 
按照 安全 事件 的 类 型 ,安全 事件 呈报 条 例 应 依次 报告 : 一 值班 人 员 , 二 、 应 急 工 作 组 长 ， 
三 应急 领导 小 组 。 如 果 想 进行 任何 类 型 的 跟踪 调查 或 者 起 诉 人 侵 者 ,应 先 跟 管 理 人 员 和 法 
律 顾问 商量 ,然后 通知 有 关 执 法 机 构 。 一 定 要 记 住 ,除非 执法 部 门 的 参与 ,否则 对 入 侵 者 进 
行 的 一 切 跟 踪 都 可 能 是 非法 的 。 

同时 ,还 应 通知 有 关 人 员 ,交换 相关 信息 ,必要 时 可 以 获得 援助 。 

2) 信息 安全 紧急 事件 认定 

信息 系统 发 生 下 列 事件 之 一 ,应 视 为 紧急 事件 : 

。 信息 系统 硬件 受到 破坏 性 攻击 ,不 能 正常 发 挥 其 部 分 或 全 部 功能 。 

。 信息 系统 软件 受到 破坏 性 攻击 ,不 能 正常 发 挥 其 部 分 或 全 部 功能 。 

。 信息 系统 受到 恶意 程序 攻击 ,局 部 或 全 部 数据 或 功能 受到 损坏 ,或 工作 效率 急剧 

降低 。 

。 相关 物理 设备 受到 人 为 和 自然 灾害 破坏 ,无 法 正常 工作 。 

。 出 现 意外 停电 而 又 无 后 备 电 源 。 

。 关键 岗位 人 员 不 能 到 位 。 

紧急 事件 发 生 后 ,应 尽快 确定 安全 事件 的 类 型 ,以 便 启动 相应 的 预案 。 

启动 应 急 预 案 

(1) 首先 要 能 够 找到 应 急 预 案 。 

(2) 保护 现场 证 据 ( 如 系统 事件 .处 理 者 采取 的 行动 .与 外 界 的 沟通 等 ) ,避免 灾害 扩大 。 

(3) 控制 事态 发 展 。 
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4) 恢复 系统 
这 部 分 内 容 将 在 5. 1.4 节 中 详细 介绍 。 
5) 应 急 工 作 总 结 


召开 会 议 ,分析 问题 和 解决 方法 ,具体 可 参考 ftp://ftp. isi. edu/in-notes/rfc2196. txt。 
(1) 总 结 教训 。 从 记录 中 总 结 关于 这 起 事故 的 教训 ,这 有 助 于 反思 安全 策略 。 
(2) 计算 事件 的 代价 。 计 算 事 件 代 价 有 助 于 让 组 织 认识 到 安全 的 重要 性 。 
(3) 改进 安全 策略 。 

6) 撰写 安全 事件 报告 

安全 事件 报告 的 内 容 包 括 以 下 部 分 : 

。 安全 事件 发 生 的 日 期 \ 时 间 ; 

。 安全 事件 处 理 参 加 的 人 员 ; 

。 事件 发 现 的 途径 ; 

。 事件 类 型 ; 

。 事件 涉及 范围 ; 

。 现场 记录 ; 

。 事件 导致 的 损失 和 影响 ; 

。 事件 处 理 过 程 ; 

。 使 用 的 技术 和 工具 ; 

。 经 验 和 教训 。 


5.1.4 灾难 恢复 

灾难 恢复 是 安全 事件 应 急 预 案 中 特别 重要 的 部 分 ,从 发 现 人 侵 的 那 一 刻 起 ,所 有 工作 就 
都 围绕 它 进行 。 

1. 灾难 恢复 的 内 容 


灾难 恢复 中 应 当 包 括 如 下 几 项 内 容 。 

1) 与 高 层 管理 人 员 协 商 

系统 恢复 的 步骤 应 当 符 合 组织 的 安全 预案 。 如 果 安 全 预案 中 没有 描述 ,应 当 与 管理 人 
员 协 商 , 以 便 能 从 更 高 角度 进行 判断 ,并 得 到 更 多 部 门 的 支持 和 配合 。 

2) 夺回 系统 控制 权 

为 了 夺回 对 被 入 侵 系 统 的 控制 权 , 先 需要 将 被 入 侵 系 统 从 网 络 上 断 开 ,包括 拨号 连接 。 
如 果 在 恢复 过 程 中 ,没有 断 开 被 侵入 系统 和 网 络 的 连接 ,入 侵 者 就 可 能 破坏 所 进行 的 恢复 
亚 首 s 

进行 系统 恢复 也 会 丢失 一 些 有 用 信息 ,如 入 侵 者 正在 使 用 的 扫描 程序 或 监听 进程 。 因 
此 想 要 继续 追踪 人 侵 者 时 ,可 以 先 不 夺回 系统 控制 权 , 以 免 被 人 侵 者 发 现 。 但 是 ,也 要 采取 
其 他 一 些 措施 ,避免 人 侵 蔓 延 。 
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3) 复制 一 份 被 人 侵 系 统 的 映像 

在 进行 人 侵 分 析 之 前 ,最 好 对 被 入 侵 系统 进行 备份 (如 使 用 UNIX 命令 dd) 。 这 个 备份 
在 恢复 失败 时 非常 有 用 。 

4) 入 侵 评 估 

入 侵 评 佑 包括 入 侵 风 险 评 佑 、 入 侵 路 径 分 析 、 入 侵 类 型 确定 和 入 侵 涉 及 范围 调查 。 下 面 
介绍 围绕 这 些 工 作 进 行 的 调查 工作 。 

(1) 详细 审查 系统 日 志文 件 和 显示 器 输出 ,检查 异常 现象 。 

(2) 和 人 侵 者 遗留 物 分 析 ,包括 以 下 几 方 面 : 

。 检查 入 侵 者 对 系统 文件 和 配置 文件 的 修改 。 

。 检查 被 修改 的 数据 。 

。 检查 人 侵 者 留 下 的 工具 和 数据 。 

。 检查 网 络 监听 工具 。 

(3) 其 他 ,如 网 络 的 周边 环境 和 涉及 的 远程 站 点 。 

5) 清除 后 门 

后 门 是 入 侵 者 为 下 次 攻击 设 下 的 埋伏 ,包括 修改 了 的 配置 文件 、 系 统 木 马 程序 、 人 和 修改 了 
的 系统 内 核 等 。 

6) 查阅 CERT 的 安全 建议 .安全 总 结 和 供应 商 的 安全 提示 

查阅 CERT 以 往 的 安全 建议 和 总 结 以 及 供应 商 的 安全 提示 ,一 定 要 安装 所 有 的 安全 
尝 可 

。 CERT 安全 建议 : 见 http://www. cert. org/advisories/ 。 

。 CERT 安全 总 结 : 见 http://www. cert. org/advisories/。 

。 供应 商 安 全 提示 : 见 ftp://ftp. cert. org/pub/cert_bulletins/。 

7) 记录 恢复 过 程 中 所 有 的 步 又 

训 不 夸张 地 讲 ,记录 恢复 过 程 中 采取 的 每 一 步 措施 都 是 非常 重要 的 。 人 恢复 一 个 被 人 侵 
的 系统 是 一 件 很 麻烦 的 事 ,要 耗费 大 量 的 时 间 , 因 此 经 常会 使 人 作出 一 些 草率 的 决定 。 记 录 
恢复 过 程 的 每 一 步 可 以 帮助 自己 避免 作出 草率 的 决定 ,还 可 以 留 作 以 后 的 参考 ,也 可 能 给 法 
律 调查 提供 帮助 。 

8) 系统 恢复 

各 种 安全 事件 预案 的 执行 都 是 为 了 使 系统 在 事故 后 得 以 迅速 恢复 。 对 于 服务 器 和 数据 
库 等 特别 重要 的 设备 , 则 需要 单独 订立 紧急 恢复 预案 。 

(1) 操作 系统 恢复 。 

@ 安装 干净 的 操作 系统 版 本 。 如 果 主 机 被 入 侵 , 就 应 当 考 虑 系统 中 的 任何 东西 都 可 能 
被 攻击 者 修改 过 了 , 包 插 内核、 二进制 可 执行 文件 、 数 据 文件 、 正 在 运行 的 进程 以 及 内 存 。 通 
常 ,需要 从 发 布 介质 上 重 装 操作 系统 ,然后 在 重新 连接 到 网 络 上 之 前 ,安装 所 有 的 安全 补丁 ， 
只 有 这 样 才 会 使 系统 不 受 后 门 和 攻击 者 的 影响 。 只 找 出 并 修补 被 攻击 者 利用 的 安全 缺陷 是 
不 够 的 。 
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建议 使 用 干净 的 备份 程序 备份 整个 系统 。 然 后 重 装 系统 。 

@ 取消 不 必要 的 服务 。 只 配置 系统 要 提供 的 服务 ,取消 那些 没有 必要 的 服务 。 检 查 并 
确信 其 配置 文件 没有 脆弱 性 以 及 该 服务 是 否 可 靠 。 通常 ,最 保守 的 策略 是 取消 所 有 的 服务 ， 
只 启动 所 需要 的 服务 。 

@ 安装 供应 商 提供 的 所 有 补丁 。 建 议 安装 所 有 的 安全 补丁 ,使 系统 能 够 抵御 外 来 攻 
击 ,不 被 再 次 入 侵 , 这 是 最 重要 的 一 步 。 

@ 安装 所 有 需要 的 驱动 程序 。 

@ 安装 所 有 需要 的 服务 软件 包 。 

@@ 安装 备份 软件 及 其 修补 程序 。 

显然 ,用 手工 进行 服务 器 的 恢复 是 非常 麻烦 的 。 如 果 能 设计 一 种 专门 的 软件 包 , 可 以 生 
成 存 有 服务 器 镜像 文件 的 启动 盘 来 恢复 服务 器 ,就 便利 多 了 。 

(2) 数据 库 系 统 的 恢复 。 

数据 库 恢 复 是 指 通过 技术 手段 ,将 保存 在 数据 库 中 丢失 的 电子 数据 进行 抢救 和 恢复 的 
技术 ,其 中 包括 : 

。 数据 文件 恢复 : 把 备份 文件 恢复 到 原来 位 置 。 

。 控制 文件 恢复 : 控制 文件 受 损 时 ,要 将 其 恢复 到 原 位 重新 启动 。 

。 文 件 系 统 恢复 : 在 大 型 操作 系统 中 ,可 能 会 因 介质 受 损 导致 文件 系统 被 破坏 。 

数据 库 恢 复 的 一 般 步 又 如 下 : 

@ 将 介质 重新 初始 化 。 

@ 重新 创建 文件 系统 。 

@ 利用 备份 完整 地 恢复 数据 库 中 的 数据 。 

@ 启动 数据 库 系 统 。 

(3) 数据 恢复 。 

谨慎 使 用 备份 数据 。 在 从 备份 中 恢复 数据 时 ,要 确信 备份 主机 没有 被 入侵 。 一 定 要 记 
住 ,恢复 过 程 可 能 会 重新 带 来 安全 缺陷 ,被 人 侵 者 利用 。 例 如 备份 中 的 用 户 的 home 目录 
(UNIX/Linux 系统 中 有 一 个 /home 目录 ,通常 用 来 保存 用 户 的 文件 ,并 且 一 个 用 户 登 录 系 
统 并 进入 后 所 处 的 位 置 就 是 /home 目录 )、 数 据 文件 、hosts 文件 (hosts 是 一 个 没有 扩展 名 
的 系统 文件 ,可 以 用 记事 本 等 工具 打开 ,其 作用 就 是 将 一 些 常用 的 网 址 域名 对 应 的 IP 地 址 
建立 一 个 关联 “数据 库 ”) 中 也 许 茂 有 特洛伊 木马 程序 。 

9) 改变 密码 

在 弥补 了 安全 漏洞 或 者 解决 了 配置 问题 以 后 ,建议 改变 系统 中 所 有 账户 的 密码 。 

10) 加 固 系 统 和 网 络 的 安全 

(1) 根据 CERT 的 配置 指南 检查 系统 的 安全 性 。 

CERT 的 UNIX/NT 配置 指南 可 以 帮助 用 户 检查 系统 中 容易 被 入 侵 者 利用 的 配置 问 
题 。 具 体 可 查阅 以 下 两 个 网 络 资源 : 

http://www. cert. org/tech_tips/unix_configuration guidelines. html 


http://www. cert. org/tech_tips/win_configuration_ guidelines. html 
sa 245 


查阅 安全 工具 文档 可 以 参考 http://www. cert. org/tech_tips/security_tools. html。 

(2) 安装 安全 工具 。 在 将 系统 连接 到 网 络 上 之 前 .一 定 要 安装 所 有 选用 的 安全 工具 。 
同时 ,最 好 使 用 Tripwire aide 等 工具 对 系统 文件 进行 MD5 校 验 ,把 校 验 码 放 到 安全 的 地 
方 , 以 便 以 后 对 系统 进行 检查 。 

(3) 打开 日 志 。 启 动 日 志 (logging)/ 检 查 (auditing)/ 记 账 (accounting) 程 序 ,将 它们 设 
置 到 准确 的 级 别 ,例如 sendmail 日 志 应 该 是 9 级 或 者 更 高 。 

要 经 常备 份 日 志文 件 ,或 者 将 日 志 写 到 另外 的 计算 机 、 一 个 只 能 增加 的 文件 系统 或 者 一 
个 安全 的 日 志 主 机 。 

(4) 配置 防火 墙 对 网 络 进 行 防 御 。 可 以 参考 http://www. cert. org/tech_tips/packet_ 
filtering. html。 

(5) 重新 连接 到 Internet。 完 成 以 上 步骤 以 后 ,就 可 以 把 系统 重新 连 人 Internet 了 。 

应 当 注 意 , 安 全 事件 处 理工 作 复杂 ,责任 重大 ,至 少 应 有 两 人 参加 。 


2. 灾难 恢复 级 别 


2007 年 7 月 ,国务 院 信息 化 工作 办 公 室 下 发 了 《信息 系统 灾难 恢复 规范 》, 并 于 2007 年 
11 月 1 日 开始 正式 实施 。 这 是 中 国 灾难 备份 与 恢复 行业 的 第 一 个 国家 标准 ,也 是 各 行 各 业 
进行 灾 备 建设 的 重要 参考 性 文件 。GB/T 20988 一 2007《 信 息 安全 技术 信息 系统 灾难 恢复 
规范 ;将 灾难 恢复 能 力 划 分 为 如 图 5. 1 所 示 的 6 级 。 
I 


六 ; 数据 零 丢 失 和 远程 集群 支持 


洱 溢 


: 电子 传输 及 完整 设备 支持 
三 : 电子 传输 和 设备 支持 


72h 24h 12h ”时 间 
恢复 时 间 目 标 


图 5.1 信息 系统 灾难 恢复 级 别 


等 级 一 : 基本 支持 。 要 求 数据 备份 系统 能 够 保证 每 周至 少 进行 一 次 数据 备份 ,备份 介 
质 能 够 提供 场 外 存放 。 对 于 备用 数据 处 理 系 统 和 备用 网 络 系统 ,没有 具体 要 求 。 

等 级 二 : 备用 场地 支持 。 在 满足 等 级 一 的 条 件 基 础 上 ,要 求 配 备 灾 难 恢复 所 需 的 部 分 
数据 处 理 设备 ,或 灾难 发 生 后 能 在 预定 时 间 内 调配 所 需 的 数据 处 理 设备 到 备用 场地 ;要 求 配 
备 部 分 通信 线路 和 相应 的 网 络 设备 ,或 灾难 发 生 后 能 在 预定 时 间 内 调配 所 需 的 通信 线路 和 
网 络 设备 到 备用 场地 。 

等 级 三 : 电子 传输 和 设备 支持 。 要 求 每 天 至 少 进行 一 次 完全 数据 备份 ,备份 介质 场 外 
存放 ,同时 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 。 配 备 灾 难 恢 复 所 

。 246 。 


需 的 部 分 数据 处 理 设备 .通信 线路 和 相应 的 网 络 设备 。 

等 级 四 : 电子 传输 及 完整 设备 支持 。 在 等 级 三 的 基础 上 ,要 求 配置 灾难 恢复 所 需 的 所 
有 数据 处 理 设备 .通行 线路 和 相应 的 网 络 设备 , 并 且 处 于 就 绪 或 运行 状态 。 

等 级 五 : 实时 数据 传输 及 完整 设备 支持 。 除 要 求 每 天 至 少 进行 一 次 完全 数据 备份 , 备 
份 介质 场 外 存放 外 ,还 要 求 采用 远程 数据 复制 技术 ,利用 通信 网 络 将 关键 数据 实时 复制 到 备 
用 场地 。 

等 级 六 : 数据 零 丢 失 和 远程 集群 支持 。 要 求实 现 远 程 实 时 备份 ,数据 零 丢 失 ; 备 用 数据 
处 理 系 统 具 备 与 生产 数据 处 理 系 统一 致 的 处 理 能 力 , 应 用 软件 是 "集群 的 ”, 可 实时 无 缝 
切换 。 

中 国 软件 评测 中 心 信息 安全 专家 认为 ,灾难 恢复 能 力 等 级 越 高 ,对 于 信息 系统 的 保护 效 
果 越 好 ,但 同时 成 本 也 会 急剧 上 升 。 因 此 ,需要 根据 成 本 风险 平衡 原则 ( 即 灾难 恢复 资源 的 
成 本 与 风险 可 能 造成 的 损失 之 间 取 得 平衡 ) ,确定 业务 系统 的 合理 的 灾难 恢复 能 力 等 级 。 对 
于 多 个 业务 系统 ,不同 业务 可 采用 不 同 的 灾难 恢复 策略 。 

信息 系统 灾难 恢复 能 力 等 级 与 恢复 时 间 目 标 (RTO) 和 恢复 点 目标 (RPO) 具 有 一 定 的 
对 应 关系 ,各 行业 可 根据 行业 特点 和 信息 技术 的 应 用 情况 制定 相应 的 灾难 恢复 能 力 等 级 要 
求 和 指标 要 求 。 


5.1.5 信息 系统 应 急 演练 


信息 系统 突 发 事件 的 发 生 是 非常 随机 的 。 对 于 一 个 管理 健全 的 信息 系统 , 突 发 事件 的 
发 生 概 率 极 低 。 但 是 一 旦 发 生 就 是 一 个 非常 大 的 灾难 。 这 时 ,即使 是 有 完美 的 应 急 预 案 , 也 
会 因为 不 太 熟 练 或 手忙脚乱 ,而 贻误 时 机 或 处 理 不 到 位 而 造成 系统 损失 。 因 此 , 光 有 安全 管 
理 制度 、 应 急 领 导 组 织 和 应 急 预 案 还 是 不 够 ,还 需要 通过 应 急 演练 提高 应 急 处 理 的 响应 能 
力 灾难 恢复 能 力 和 人 处置 能 力 。 

应 急 演练 一 般 包 含 如 下 内 容 : 

(1) 明确 应 急 演练 的 指导 思想 。 

(2) 成 立 应 急 演练 组 织 。 

(3) 制定 应 急 演练 方案 。 


1. 应 急 演练 的 指导 思想 


信息 系统 灾 备 演练 对 于 检验 信息 系统 灾难 恢复 预案 的 适用 性 有效 性 ,提升 灾 备 系统 的 
实际 恢复 能 力 具 有 重要 意义 。 因 此 ,应 急 演练 不 能 看 作 仅仅 是 演练 ,而 应 该 当 作 一 次 实战 。 
要 从 实战 出 发 ,认真 对 待 。 


2. 应 急 演 练 组 织 机 构 


应 急 演 练 的 组 织 一 般 分 为 应 急 演 练 指挥 部 和 应 急 演 练 工作 组 。 
1) 应 急 演练 指挥 部 
应 急 演 练 指挥 部 的 职责 是 : 负责 信息 系统 突 发 事件 应 急 演 练 的 指挥 .组 织 协调 和 过 程 


控制 ;向 上 级 部 门 报告 应 急 演 练 进展 情况 和 总 结 报告 ,确保 演练 工作 达到 预期 目的 。 
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2) 应 和 急 演练 工作 组 

应 急 演 练 工作 组 的 职责 如 下 : 

。 负责 信息 系统 突 发 事件 应 急 演练 的 具体 工作 ,对 信息 系统 突 发 事件 应 急 演练 业务 影 
响 情况 进行 分 析 和 评估 。 

。 收集 分 析 信 息 系 统 突 发 事件 应 急 演 练 处 置 过 程 中 的 数据 信息 和 记录 。 

。 向 应 急 指挥 部 报告 应 急 演练 进展 情况 和 事态 发 展 情况 。 

” 做 好 后 勤 保 障 工 工作 ,提供 应 急 演练 所 需 人 力 和 物力 等 资源 保障 。 

。 做 好 对 受 影响 客户 的 解释 和 安抚 工作 。 

。 做 好 秩序 维护 、 安 全 保障 支援 等 工作 。 

。 建立 与 电力 通信、 公安 等 相关 外 部 机 构 的 应 急 演练 协调 机 制 和 应 急 演 练 联动 机 制 。 

。 其 他 为 降低 事件 负面 影响 或 损失 提供 的 应 急 支持 保障 等 。 


3. 制定 演练 方案 


演练 方案 包含 如 下 内 容 。 
。 演练 时 间 。 

。 选 定 演练 目的 。 

。 确定 演练 内 容 。 


4. 演练 准备 工作 

。 组织 员工 学 习 信 息 安全 的 有 关 规 范 和 本 组 织 的 信息 系统 突 发 事件 应 急 预 案 。 

。 提 高 员工 对 于 突 发 事件 的 应 急 处 置 意识 ,熟悉 在 突 发 事件 中 各 自 的 职责 和 任务 。 
。 明确 责任 ,严格 组 织 实 施 演练 活动 .确保 演练 活动 顺利 完成 ,达到 预期 效果 。 

。 制定 演练 详细 时 间 安 排 表 。 

5. 应 急 演练 的 实施 

根据 演练 方案 开展 演练 。 


6. 总 结汇 报 


演练 结束 后 ,要 对 演练 进行 总 结 , 对 演练 中 出 现 的 问题 要 及 时 上 报 并 进行 整改 。 
5.2 数据 备份 .数据 容错 与 数据 容 灾 


信息 系统 是 脆弱 的 , 它 的 可 靠 性 不 断 遭 受 威胁 。 为 了 保证 系统 的 可 靠 性 ,经 过 长 期 摸 
索 , 人 们 总 结 出 了 3 条 途径 : 避 错 、 纠 错 和 容错 。 

避 错 是 完善 设计 和 制造 ,试图 构造 一 个 不 会 发 生 故 障 的 系统 。 但 是 ,这 是 不 太 现 实 的 。 
任何 一 个 系统 都 会 有 丝 漏 。 因 此 ,人 们 不 得 不 用 纠 错 作为 避 错 的 补充 。 一 有 旦 系统 出 现 故障 ， 
可 以 通过 检测 和 核实 来 消除 ,再 进行 系统 的 恢复 。 

容错 是 第 三 条 途径 。 其 基本 思想 是 ,即使 出 现 错误 .系统 也 还 能 执行 一 组 规定 的 程序 。 
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或 者 说 ,程序 不 会 因为 系统 中 的 故障 而 中 断 或 被 修改 ,并 且 故 障 也 不 引起 执行 结果 的 差错 。 
或 者 简单 地 说 ,容错 就 是 系统 可 以 抵抗 错误 的 能 力 。 容 灾 是 针对 灾害 而 言 的 。 灾 害 对 系统 
危害 要 比 错误 要 大 、 要 严重 。 


5.2.1 数据 备份 
数据 备份 是 数据 容 灾 数据 容错 和 数据 恢复 的 基本 保障 措施 。 
1. 数据 备份 的 概念 


为 了 清晰 备份 的 概念 ,需要 从 以 下 儿 个 方面 理 清 它 与 另外 一 个 意义 相近 的 术语 一 一 复 
制 之 间 的 关系 。 
1) 从 词 面 解释 看 
“备份 "对 应 的 英语 单词 是 backup, 它 在 英语 中 具有 支持 .后 援 、 备 用 、 候 补 . 阻 塞 .伴奏 、 
倒退 .被 等 意思 。 复 制 对 应 的 英语 单词 是 copy, 它 在 英语 中 具有 复制 .抄写 .模仿 等 意思 。 
从 汉语 方面 看 ,备份 就 是 准备 好 一 份 ,以 便 必要 时 应 急 。 所 以 它 是 基于 可 靠 或 安全 进行 
的 完 余 性 保存 。 而 复制 是 照样 做 一 个 的 意思 ,不 一 定 是 为 了 可 靠 与 安全 ,也 许 还 有 别 的 
目的 。 
2) 从 形式 上 看 
从 形式 上 看 ,复制 有 两 个 特点 : 
”与 源 数据 内 容 完全 相同 。 
。 与 源 数据 文件 格式 完全 相同 。 
而 备份 与 之 不 同 : 
”不 一 定 是 全 部 ,可 能 是 全 部 ,也 可 能 是 一 部 分 ,只 要 应 急 够 用 就 行 。 
”格式 不 一 定 相同 。 备 份 根据 备份 软件 的 不 同 ,会 被 打包 成 不 同 的 备份 文件 格式 ,只 
能 用 备份 软件 恢复 过 来 ,不 能 直接 使 用 。 多 数 备份 软件 (比如 VERITAS 
NetBackup 软件 ) 的 备份 格式 为 标准 的 TAR 格式 ,也 就 是 磁带 的 格式 。 


2. 数据 备份 模式 


从 模式 看 ,数据 备份 可 以 分 为 逻辑 备份 和 物理 备份 。 

1) 逻辑 备份 

逻辑 备份 也 称 “ 基 于 文件 (file-based) 备份", 即 以 文件 为 单位 进行 复制 备份 。 这 种 备 
份 ,使 得 每 个 单独 的 文件 恢复 比较 简单 。 但 是 ,一 个 文件 往往 可 能 由 分 散在 磁盘 上 的 多 个 数 
据 块 链接 而 成 :文件 备份 需要 进行 文件 操作 ,又 需要 对 数据 块 进行 操作 。 这 样 ,对 非 连续 存 
储 在 磁盘 上 的 文件 进行 备份 时 ,需要 额外 的 查找 操作 。 这 些 额外 的 查找 操作 会 增加 磁盘 开 
销 。 此 外 ,即使 文件 中 有 一 点 很 小 的 改变 ,也 要 对 整个 文件 进行 一 次 备份 。 

2) 物理 备份 

物理 备份 也 称 “ 基 于 块 (block-based) 备 份 ” 或 “基于 设备 (device-based) 的 备份 ”"。 这 种 
备份 以 数据 件 块 为 单位 进行 备份 ,因此 在 备份 过 程 中 ,花费 在 搜索 上 的 开销 很 少 ,可 以 提高 
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备份 的 性 能 。 但 是 在 恢复 时 必须 收集 文件 和 目录 的 信息 ,要 知道 具体 的 数据 块 是 以 什么 方 
式 组 织 到 文件 中 的 ,因此 恢复 的 效率 很 低 。 


3. 数据 备份 环境 


按照 环境 ,备份 可 以 是 冷 备份 ,也 可 以 是 热 备份 。 

1) 冷 备份 

冷 备份 也 叫 离线 备份 或 脱 机 备份 ,是 数据 库 已 经 正常 关闭 的 情况 下 将 关键 性 文件 复制 
到 另外 位 置 的 备份 。 这 样 , 可 以 很 好 地 解决 备份 选择 进行 时 并 发 数据 更 新 所 带 来 的 数据 不 
一 致 。 其 缺点 是 用 户 需 要 等 待 较 长 的 时 间 。 

2) 热 备份 

热 备份 也 叫 在 线 备份 或 同步 数据 备份 ,是 在 数据 库 运行 的 情况 下 ,采用 归档 模式 
Carchivelog mode) 备 份 数据 的 方法 。 采 用 这 种 备份 时 ,用 户 不 需 等 待 , 即 在 数据 更 新 时 也 允 
许 数 据 备 份 , 但 要 采用 文件 的 单独 写 / 修 改 特 权 等 技术 措施 解决 数据 的 不 一 致 问 题 。 


4. 数据 备份 的 策略 


数据 备份 策略 包括 备份 时 间 、 备 份 数 据 种 类 和 故障 恢复 方式 等 。 下面 介 绍 4 种 备份 
策略 。 

1) 完全 备份 

完全 备份 (full backup) 指 定时 对 整个 系统 或 用 户 指定 的 所 有 文件 数据 进行 一 次 完全 的 
备份 。 例 如 ,星期 一 用 一 个 磁盘 (或 光盘 ) 对 整个 系统 进行 一 次 备份 ,星期 二 再 用 另 一 个 磁盘 
(或 光盘 ) 对 整个 系统 进行 一 次 备份 ,以 此 类 推 。 这 种 备份 策略 比较 可 靠 , 可 以 将 数据 恢复 到 
任何 一 次 备份 之 前 ,但 不 能 保证 将 数据 恢复 到 灾难 之 前 。 并 且 ,其 成 本 较 高 .需要 大 量 存储 
空间 。 

2) 增 量 备 份 

增 量 备份 (incremental backup) 只 备份 上 次 备份 后 作 过 更 新 的 文件 。 例 如 ,星期 一 先 用 
一 个 磁盘 (或 光盘 ) 进 行 一 次 完全 备份 ,星期 二 则 只 备份 自 星 期 一 备份 以 后 新 的 或 被 修改 过 
的 数据 ,星期 三 只 备份 自 星期 二 备份 以 后 新 的 或 被 修改 过 的 数据 ,以 此 类 推 。 这 种 备份 使 系 
统 性 能 和 容量 可 以 得 到 很 好 的 改善 。 但 是 ,一旦 出 现 数据 故障 时 要 进行 数据 恢复 ,不 得 不 从 
最 后 一 次 的 备份 向 前 进行 链 式 恢复 。 例 如 ,星期 四 出 现 故 障 , 则 要 先 从 星期 一 的 备份 数据 开 
始 , 用 星期 二 的 备份 恢复 出 星期 二 备份 之 前 的 数据 ;再 以 此 为 基础 ,用 星期 三 的 备份 恢复 出 
星期 三 备份 之 前 的 数据 。 若 其 中 任何 一 个 中 间 环 节 出 现 问题 ,都 使 恢复 难于 继续 。 因 此 ,这 
种 模式 与 完全 备份 配合 使 用 效果 较 好 。 

3) 差别 备份 

差别 备份 Cdifferential backup) 是 每 次 只 备份 上 次 全 盘 备 份 之 后 更 新 过 的 数据 。 例 如 ， 
星期 一 先 用 一 个 磁盘 (或 光盘 ) 进 行 一 次 完全 备份 ,以 后 每 天 只 备份 与 星期 一 的 备份 数据 不 
同 的 数据 部 分 。 这 样 , 全 部 系统 只 需要 两 组 磁盘 或 光盘 (最 后 一 次 完全 备份 磁盘 或 光盘 和 最 
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后 一 次 差别 备份 磁盘 或 光盘 ) 就 可 以 恢复 。 
4) 按 需 备份 


按 需 备份 是 指 在 正常 的 备份 之 外 ,有 选择 地 进行 的 额外 备份 操作 (例如 对 于 非常 关键 的 
数据 )。 按 需 分 配 可 以 弥补 宛 余 管 理 或 长 期 转 储 的 日 常备 份 的 不 足 。 


5. 数据 备份 的 存储 
1) 直接 备份 


使 用 备份 软件 直接 备份 在 磁带 、 人 磁盘、 内存、 光盘 等 介质 上 。 
2) 网 络 备份 


网 络 备份 是 通过 网 络 进行 数据 备份 。 主 要 形式 有 如 下 几 种 。 

(1) NASCNetwork Attached Storage, 网 络 附 加 存储 ) ,其 结构 如 图 5.2 所 示 , 它 通过 在 
网 络 中 安装 一 种 只 负责 实现 文件 I/O 操作 的 设施 ,把 任务 优化 的 存储 设备 直接 挂 在 网 上 ， 
使 数据 的 存储 与 数据 的 处 理 相 分 离 : 文件 服务 器 只 用 于 数据 的 存储 , 主 服务 器 只 用 于 数据 
的 处 理 。 


LAN 


| 加 

文件 ”存储 -人 > LE 

服务 器 ”设备 。 主 服务 器 用 户 用 户 
图 5.2 


2 NAS 的 存储 结构 
(2) SAN(Storage Area Network ,存储 局 域 网 ) : 是 用 来 连接 服务 器 和 存储 装置 (大 容 
量 磁 盘 阵 列 和 备份 磁带 库 等 ) 的 专用 存储 网 络 。 如 图 5. 3 所 示 ,SAN 的 连接 基于 固有 光纤 
通道 和 SCSI, 通 过 SCSI 到 光纤 通道 转换 器 和 网 关 ,一 个 或 多 个 光纤 通道 交换 机 在 主 服务 器 
与 存储 设备 之 间 提 供 相 互 连 接 ,形成 一 种 特殊 的 高 速 网 络 。 如 果 把 LAN 作为 第 一 网 络 , 则 
SAN 就 是 第 二 网 络 , 它 置 于 LAN 之 下 ,但 又 不 涉及 LAN 的 具体 操作 


存储 设备 
图 5.3 SAN 的 结构 
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(3) 云 存 储 : 即 云 计算 的 数据 存储 技术 , 它 具 有 分 布 式 、 高 吞吐 率 、 大 宛 余 和 高 传输 率 
的 特点 。 目 前 云 计算 系统 中 广泛 使 用 的 数据 存储 系统 是 Google 的 GFS (Google File 
System,Google 文件 系统 , 非 开源 ) 和 Hadoop 团队 开发 的 GFS 的 开源 实现 HDFS(Hadoop 
Distributed File System)。 目 前 这 两 种 技术 已 经 成 为 事实 标准 。 

GFS 是 一 个 可 扩展 的 分 布 式 文件 系统 ,用 于 大 型 的 .分布 式 的 、 对 大 量 数据 进行 访问 的 
应 用 。 一 个 GFS 集群 由 一 个 主 服务 器 (master) 和 大 量 的 块 服务 器 (chunk server) 构 成 ,并 
被 许多 客户 (client) 访 问 。 主 服务 器 存储 文件 系统 所 有 的 元 数据 (描述 数据 的 数据 ) ,包括 名 
字 空 间 ,访问 控制 信息 、 从 文件 到 块 的 映射 以 及 块 的 当前 位 置 。 它 也 控制 系统 范围 的 活动 ， 
如 块 租约 (lease) 管 理 、 孤 儿 块 的 垃圾 收集 、 块 服务 器 间 的 块 迁 移 。 主 服务 器 定期 通过 
HeartBeat 消息 与 每 一 个 块 服务 器 通信 ,给 块 服务 器 传递 指令 并 收集 它 的 状态 。GFS 中 的 
文件 被 切 分 为 64MB 的 块 并 以 元 余 存储 ,每 份 数 据 在 系统 中 保存 3 个 以 上 备份 。 客 户 与 主 
服务 器 的 交换 只 限于 对 元 数据 的 操作 ,所 有 数据 方面 的 通信 都 直接 和 块 服务 器 联系 ,这 大 大 
提高 了 系统 的 效率 ,防止 主 服务 器 负载 过 重 。 


6. 数据 备份 关键 技术 


1) 镜像 技术 

通常 ,镜像 (mirroring) 是 指 一 个 物体 对 于 一 个 镜面 的 重 现 。 在 计算 机 技术 中 ,镜像 是 
一 种 匈 余 的 类 型 ,是 数据 的 另 一 个 完全 相同 的 副本 。 

(1) 按照 存在 形式 ,镜像 可 以 分 为 磁盘 镜像 和 镜像 站 点 。 

人 磁盘 镜像 是 在 两 个 或 多 个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 
过 程 , 即 一 个 磁盘 上 的 数据 在 另 一 个 磁盘 上 存在 一 个 完全 相同 的 副本 即 为 镜像 。RAID 1 
和 RAID 10 使 用 的 就 是 镜像 。 常 见 的 镜像 文件 格式 有 iso bin .img ,tao dao、cif fcd。 

镜像 站 点 指 某 个 网 站 存在 另 一 个 相关 内 容 完全 相同 的 网 站 。 

(2) 按照 存在 关系 ,镜像 系统 有 主 从 之 分 。 

在 磁盘 镜像 系统 中 ,要 将 一 个 磁盘 指定 为 主 磁盘 镜像 系统 ,将 另 一 个 指定 为 从 磁盘 镜像 
系统 。 

在 镜像 站 点 系统 中 , 则 将 一 台 服 务 器 被 指定 为 主 服务 器 ,将 另 一 台 指 定 为 从 服务 器 。 客 
户 只 能 对 主 服务 器 上 的 镜像 的 卷 进行 读 写 , 即 只 有 主 服务 器 通过 网 络 向 用 户 提 供 服务 ,从 服 
务 器 上 相应 的 卷 被 锁定 以 防 对 数据 的 存 取 。 主 /从 服务 器 分 别 通过 心跳 监测 线路 互相 监测 
对 方 的 运行 状态 ,当主 服务 器 因 故 障 停机 时 ,从 服务 器 将 在 很 短 的 时 间 内 接管 主 服 务 器 的 
应 用 。 

(3) 按 主 从 磁盘 镜像 存储 系统 所 处 的 位 置 ,磁盘 镜像 可 分 为 本 地 镜像 和 远程 镜像 。 

本 地 镜像 是 在 本 机 的 磁盘 中 划分 主 镜像 区 和 从 镜像 区 。 远 程 镜 像 又 叫 远 程 复制 ,是 通 
过 高 速 光 纤 通 道 线 路 和 磁盘 控制 技术 将 镜像 磁盘 延伸 到 远离 本 地 机 的 地 方 ,镜像 磁盘 数据 
与 主 磁盘 数据 完全 一 致 。 

(4) 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ,远程 镜像 又 可 分 为 同步 远 
程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 (同步 复制 技术 ) 是 指 通过 远程 镜像 软件 ,将 本 地 数据 以 完全 同步 的 方式 
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复制 到 异地 ,每 一 本 地 的 I/O 事务 均 需 等 待 远程 复制 的 完成 确认 信息 : 方 了 予以 释放 。 同 步 
镜像 使 复制 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹配 。 当 主 站 点 出 现 故 障 时 ,用 户 的 应 用 程序 
切换 到 备份 的 替代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 的 丢失 。 
但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基本 
操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 IO 操作 完成 确认 信息 。 远 程 的 数据 复制 
是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 ,传输 距离 长 (可 达 
1000km 以 上 ) ,对 网 络 带 宽 要 求 低 。 但 是 ,许多 远程 的 从 属 存储 子 系统 的 写 没 有 得 到 确认 ， 
当 某 种 因素 造成 数据 传输 失败 ,可 能 出 现 数据 一 致 性 问题 。 为 了 解决 这 个 问题 ,目前 大 多 采 
用 延迟 复制 的 技术 (本 地 数据 复制 均 在 后 台 日 志 区 进行 ), 即 在 确保 本 地 数据 完好 无 损 后 进 
行 远 程 数 据 更 新 。 

2) 存储 快照 技术 

快照 (snapshot) 是 通过 软件 对 磁盘 子 系统 中 的 数据 快速 扫描 ,为 要 备份 数据 在 某 个 时 
间 点 上 建立 的 映像 ,这 个 映像 由 快照 逻辑 单元 号 (LUN) 和 快照 高 速 缓存 组 成 。 快 照 LUN 
是 一 组 指针 , 它 指向 快照 高 速 缓存 和 磁盘 子 系统 中 不 变 的 数据 块 (在 备份 过 程 中 )。 在 快速 
扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同时 快速 复制 到 快照 高 速 缓存 中 。 

快照 能 够 进行 在 线 数据 备份 与 恢复 。 当 存储 设备 发 生 应 用 故障 或 者 文件 损坏 时 可 以 进 
行 快 速 的 数据 恢复 ,将 数据 恢复 至 某 个 可 用 的 时 间 点 的 状态 。 在 正常 业务 进行 的 同时 ,利用 
快照 LUN 实现 对 原 数据 的 一 个 完全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 
(主要 指 容 灾 备 份 系统 ) ,实时 提取 当前 在 线 业 务 数据 。 

快照 的 另 一 个 作用 是 为 存储 用 户 提供 另外 一 个 数据 访问 通道 , 当 原 数 据 进 行 在 线 应 用 
处 理 时 ,用 户 可 以 访问 快照 数据 ,还 可 以 利用 快照 进行 测试 等 工作 。 由 于 其 "备份 窗口 ”接近 
于 零 , 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 的 7X24 运转 提供 了 保证 。 所 有 存储 
系统 ,不 论 高 中 低 端 ,只 要 应 用 于 在 线 系统 ,那么 快照 就 成 为 一 个 不 可 或 缺 的 功能 。 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通 过 镜像 把 数据 备份 到 远程 
存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 

3) 互 连 技 术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN( 存 储 区 域 网 络 ) 
的 远程 复制 (镜像 ), 即 通过 光纤 通道 (FC) ,把 两 个 SAN 连接 起 来 ,进行 远程 镜像 (复制 )。 
当 灾 难 发 生 时 ,由 备 援 数据 中 心 蔡 代 主 数据 中 心 保 证 系统 工作 的 连续 性 。 但 是 由 于 这 种 远 
程 容 灾 备份 方式 存在 实现 成 本 高 ,设备 的 互 操作 性 差 .跨越 的 地 理 距离 短 (10km) 等 因素 , 阻 
碍 了 它 的 进一步 推广 和 应 用 。 

目前 出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它 们 是 利用 基于 IP 的 
SAN 的 互 连 协 议 , 将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 远 程 复制 到 备 援 
中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ,可 利用 快照 技术 将 其 备份 到 磁带 库 或 光 
盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 ,可 以 跨越 LAN、MAN 和 WAN, 成 本 低 , 可 
扩展 性 好 ,具有 广阔 的 发 展 前 景 。 基 于 了 P 了 的 互 连 协议 包括 FCIP、iFCP、 Infiniband 和 
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iSCSI 等 。 

4) 虚拟 存储 

虚拟 存储 就 是 把 多 个 存储 介质 模块 (如 硬盘 、RAID) 通 过 一 定 的 手段 集中 在 一 个 存储 
池 (storage pool) 中 进行 统一 管理 。 这 样 ,从 主机 的 角度 看 到 的 就 不 是 多 个 硬盘 ,而 是 一 个 
分 区 或 者 卷 。 从 拓扑 结构 来 讲 , 虚 拟 存储 主要 有 两 种 方式 : 对 称 式 虚 拟 存储 和 非 对 称 式 虚 
拟 存储 。 对 称 虚 拟 存 储 有 如 下 优点 : 

。 采用 大 容量 高 速 缓存 ,可 以 显著 提高 数据 传输 速度 。 

。 采用 多 端口 并 行 技术 ,可 以 消除 1/O 瓶 肛 。 
其 逻辑 存储 单元 提供 了 高 速 的 磁盘 访问 速度 。 
成 对 的 存储 池 具 有 很 好 的 容错 性 能 。 


5.2.2 数据 容错 技术 


容错 (Fault Tolerant,FT) 就 是 当 由 于 种 种 原因 在 系统 中 出 现 了 数据 、 文 件 损坏 或 丢失 
时 ,系统 能 够 自动 将 这 些 损坏 或 丢失 的 文件 和 数据 恢复 到 发 生 事故 以 前 的 状态 ,使 系统 能 够 
连续 正常 运行 的 技术 。 

目前 ,广泛 采用 的 数据 容错 技术 有 下 列 一 些 。 

1. 双重 文件 分 配 表 和 目录 表 技 术 

硬盘 上 的 文件 分 配 表 和 目录 表 存 放 着 文件 在 硬盘 上 的 位 置 和 文件 大 小 等 信息 ,如果 它 
们 出 现 故 障 , 数 据 就 会 丢失 或 误 存 到 其 他 文件 中 。 通 过 提供 两 份 同样 的 文件 分 配 表 和 目录 
表 , 把 它们 存放 在 不 同 的 位 置 ,一 旦 某 份 出 现 故 障 ,系统 将 做 出 提示 ,从 而 达到 容错 的 目的 。 


2. 快速 磁盘 检修 技术 


这 种 方法 是 在 把 数据 写 入 硬盘 后 ,马上 从 硬盘 中 把 刚 写 入 的 数据 读 出 来 与 内 存 中 的 原 
始 数据 进行 比较 。 如 果 出 现 错误 , 则 利用 在 硬盘 内 开设 的 一 个 被 称 为 “ 热 定 位 重 定 区 ”的 区 ， 
将 硬盘 坏 区 记录 下 来 ,并 将 已 确定 的 在 坏 区 中 的 数据 用 原始 数据 写 人 热 定 位 重 定 区 上 。 


3. 磁盘 镜像 技术 


磁盘 镜像 是 在 同一 存储 通道 上 装 有 成 对 的 两 个 磁盘 驱动 器 ,分 别 驱动 原 盘 和 副 盘 ,两 个 
盘 串 行 交替 工作 , 当 原 盘 发 生 故 障 时 , 副 盘 仍旧 正常 工作 ,从 而 保证 了 数据 的 正确 性 。 


4. 双 工 磁盘 技术 


它 是 在 网 络 系统 上 建立 起 两 套 同样 的 且 同 步 工作 的 文件 服务 器 ,如 果 其 中 一 个 出 现 故 
障 , 另 一 个 将 立即 自动 投入 系统 ,接替 发 生 故障 的 文件 服务 器 的 全 部 工作 。 


5. 事务 跟踪 系统 


网 络 操作 系统 具有 完备 的 事务 跟踪 系统 ,这 是 针对 数据 库 和 多 用 户 软 件 的 需要 而 设计 
的 ,用 以 保证 数据 库 和 多 用 户 应 用 软件 在 全 部 处 理工 作 还 没有 结束 时 ,或 者 在 工作 站 或 服务 
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器 发 生 罕 然 损坏 的 情况 下 ,能 够 保持 数据 的 一 致 。 其 工作 方式 是 : 对 指定 的 事务 (操作 ) 要 
么 一 次 完成 ,要 么 什么 操作 也 不 进行 。 


6. 负载 均衡 


负载 均衡 (load balance) 就 是 将 一 个 任务 分 解 成 多 个 子 任务 ,分 配给 不 同 的 服务 器 执 
行 ,通过 减少 每 个 部 件 的 工作 量 ,增加 系统 的 稳定 性 。 通 常 ,负载 均衡 会 根据 网 络 的 不 同 层 
次 (网 络 七 层 ) 来 划分 。 其 中 ,第 二 层 的 负载 均衡 指 将 多 条 物理 链 路 当 作 一 条 单一 的 聚合 逻 
辑 链 路 使 用 ,这 就 是 链 路 聚合 (trunking) 技 术 , 它 不 是 一 种 独立 的 设备 ,而 是 交换 机 等 网 络 
设备 的 常用 技术 。 现 代 负 载 均 衡 技术 通常 操作 于 网 络 的 第 四 层 或 第 七 层 , 它 完全 脱离 交换 
机 、 服 务 器 而 成 为 独立 的 技术 设备 。 


7. LOCKSTEP 技术 


LOCKSTEP 技术 使 用 相同 的 、 元 余 的 硬件 组 件 在 同一 时 间 内 处 理 相同 的 指令 。 它 可 
以 保持 多 个 CPU 、 内 存 精确 的 同步 ,在 相同 时 钟 周 期 内 执行 相同 的 指令 ;保证 能 够 发 现任 何 
错误 ,即使 短暂 的 错误 ,系统 也 能 在 不 间断 处 理 和 不 损失 数据 的 情况 下 恢复 正常 运行 。 


8. 安全 故障 (FAILSAFE) 软 件 


FAILSAFE 可 以 管理 和 诊断 特征 ,捕获 、 分 析 和 通报 服务 器 的 软件 问题 ,从 而 允许 个 人 
在 软件 发 生 错 误 之 前 去 纠正 错误 。FAILSAFE 软件 通过 下 列 功 能 来 增强 Windows 环境 中 
的 可 靠 性 : 

。 保 护短 暂 的 硬件 故障 。 

。 通过 增强 的 驱动 程序 预防 软件 失效 。 

。 软件 问题 的 捕获 .分 析 及 修正 。 

。 内 存 数 据 的 连续 性 维持 。 

。 丰富 的 纠 错 功能 可 以 解决 各 种 不 同 的 错误 。 

。 自动 重启 功能 ,能 够 将 宕 机 前 CPU 与 内 存 数据 即时 保存 下 来 。 

FAILSAFE 软件 在 Windows 2000/2003 环境 下 采用 热 插 拔 .内存 镜 像 .负载 均衡 、 多 点 
终止 失效 、 多 通道 IO 等 方式 ,大 大 增强 了 系统 连续 运行 的 稳定 性 。 


9. 服务 器 容错 技术 


服务 器 容错 技术 的 出 现 极 大 地 降低 了 企业 业务 在 各 种 不 可 预料 灾难 发 生 时 的 损失 , 保 
证 业务 系统 的 7X24 小 时 不 间断 运转 。 常 用 的 服务 器 容错 技术 有 下 列 一 些 。 

(1) 双 机 热 备 (hot standby): 通过 系统 元 余 的 方法 解决 计算 机 应 用 系统 的 可 靠 性 问 
题 ,并 具有 安装 维护 简单 .稳定 可 靠 .监测 直观 等 优点 。 

(2) 服务 器 集群 (cluster) : 服务 器 集群 是 通过 将 多 台 服 务 器 互联 在 一 起 而 形成 的 ,以 松 
散 的 成 对 配置 共享 资源 ,具有 一 定 的 自我 修正 能 力 , 可 以 保证 系统 7X24 的 不 间断 运行 ,把 
非 计划 和 计划 的 停机 时 间 降 到 最 低 。 在 确保 高 可 用 性 方面 :服务 器 集群 堪 称 最 具 价值 的 系 
统 级 技术 之 一 。 
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(3) SAN: 允许 服务 器 在 共享 存储 装置 的 同时 仍 能 高 速 传送 数据 ,具有 带宽 高 、 可 用 性 
高 .容错 能 力 强 的 优点 ,而 且 它 可 以 轻松 升级 ,容易 管理 ,有 助 于 改善 整个 系统 的 总 体 成 本 
5.2.3 ”数据 容 灾 系统 


真正 的 数据 容 灾 就 是 要 能 在 灾难 发 生 时 全 面 、 及 时 地 恢复 整个 系统 。 在 系统 遭受 灾害 
时 ,使 系统 还 能 工作 或 尽快 恢复 工作 的 最 基础 的 工作 是 数据 备份 。 对 于 一 个 容 灾 系统 ,如果 
没有 备份 的 数据 ,任何 容 灾 方案 都 没有 现实 意义 。 


1. 衡量 容 灾 的 两 个 技术 指标 


从 技术 上 看 ,衡量 容 灾 系统 有 两 个 主要 指标 RPO 和 RTO。 

RPO(Recovery Point Object, 数 据 恢 复 点 目标 ) 主 要 指 的 是 业务 系统 所 能 容忍 的 数据 
丢失 量 , 代 表 了 当 灾 难 发 生 时 允许 丢失 的 数据 量 。 

RTO(Recovery Time Object, 恢 复 时 间 目 标 ) 主 要 指 的 是 所 能 容忍 的 业务 停止 服务 的 
最 长 时 间 , 代 表 了 系统 恢复 的 时 间 ,也 就 是 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 
短 时 间 周 期 。 

所 以 ,RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 停止 ,二 者 没有 必然 的 关联 性 。 
RTO 和 RPO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 需求 确定 。 对 
于 不 同 企 业 的 同一 种 业务 ,RTO 和 RPO 的 需求 也 会 有 所 不 同 。 


2. 容 灾 必须 满足 的 3R 


真正 的 容 灾 必须 满足 3R : 

(1) Redundance, 即 系统 中 的 部 件 、 数 据 都 具有 “ 宛 余 性 ”, 即 一 个 系统 发 生 故 障 , 男 一 个 
系统 能 够 保持 数据 传送 的 顺畅 。 

(2) Remote, 即 具有 “长 距离 性 ”"。 因 为 灾害 总 是 在 一 定 范 围 内 发 生 , 因 而 充分 长 的 距 
离 才 能 够 保证 数据 不 会 被 一 个 灾害 全 部 破坏 。 

(3) Replication, 容 灾 系 统 要 追求 全 方位 的 数据 "备份", 也 称 为 容 灾 性 。 


3. 确定 容 灾 备份 技术 方案 的 因素 


根据 国际 标准 SHARE 78 的 定义 ,确定 灾难 备份 技术 方案 应 主要 考虑 如 下 8 个 方面 。 
(1) 备份 /恢复 的 范围 。 
(2) 灾难 恢复 计划 的 状态 。 
(3) 应 用 站 点 与 灾难 备份 站 点 之 间 的 距离 。 
(4) 应 用 站 点 与 灾难 备份 站 点 之 间 是 如 何 相 互 连 接 的 。 
(5) 数据 是 怎样 在 两 个 站 点 之 间 传 送 的 。 
(6) 人 允许 有 多 少数 据 被 丢失 。 
(7) 怎样 保证 更 新 的 数据 在 灾难 备份 站 点 被 更 新 。 
(8) 灾难 备份 站 点 可 以 开始 灾难 备份 工作 的 能 力 。 
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4. 七 级 容 灾 系统 等 级 


按照 以 上 考虑 因素 ,国际 标准 SHARE 78 将 容 灾 系统 定义 成 如 下 7 个 层次 。 

0 级 : 无 异地 备份 。 

在 这 种 容 灾 方案 中 ,最 常用 的 是 备份 管理 软件 加 上 磁带 机 ,可 以 手工 加 载 磁带 机 或 自动 
加 载 磁带 机 。 其 特点 是 用 户 投资 较 少 ,技术 实现 简单 。 缺 点 是 一 旦 本 地 发 生 毁 灭 性 灾难 ,将 
丢失 全 部 的 本 地 备份 数据 ,业务 无 法 恢复 ,所 以 不 具备 真正 的 灾难 恢复 能 力 。 

1 级 : 实现 异地 备份 。 

这 种 方案 是 将 关键 数据 备份 到 本 地 磁带 介质 上 ,然后 送 往 异 地 保存 ,但 异地 没有 可 用 的 
备份 中 心 、 备 份 数 据 处 理 系 统 和 备份 网 络 通 信 系 统 , 未 制定 灾难 恢复 计划 。 灾 难 发 生 后 ,使 
用 新 的 主机 ,利用 异地 数据 备份 介质 (磁带 ) 将 数据 恢复 起 来 。 这 种 方案 成 本 较 低 ,但 难以 管 
理 , 即 很 难 知道 什么 数据 在 什么 地 方 , 恢 复 时 间 长 短 依赖 于 何 时 硬件 平台 能 够 被 提供 和 准备 
好 。 目 前 ,这 一 等 级 方案 在 许多 中 小 网 站 和 中 小 企业 用 户 中 采用 较 多 。 

2 级 : 热 备份 站 点 备份 。 

这 种 方案 是 将 关键 数据 进行 备份 并 存放 到 异地 ,制订 有 相应 灾难 恢复 计划 ,具有 热 备份 
能 力 的 站 点 灾难 恢复 。 一 旦 发 生 灾难 ,利用 热 备份 主机 系统 将 数据 恢复 。 由 于 有 了 热 备 中 
心 ,用 户 投 资 会 增加 ,相应 的 管理 人 员 要 增加 。 技 术 实 现 简 单 , 利 用 异地 的 热 备 份 系统 ,可 以 
在 本 地 发 生 毁 灭 性 灾难 后 ,快速 进行 业务 恢复 。 但 这 种 容 灾 方案 由 于 备份 介质 是 采用 交通 
运输 方式 送 往 异 地 ,异地 热 备 中 心 保 存 的 数据 是 上 一 次 备份 的 数据 ,可 能 会 有 几 天 甚至 几 周 
的 数据 丢失 。 这 对 于 关键 数据 的 容 灾 是 不 能 容忍 的 。 

3 级 ; 在 线 数据 恢复 。 

这 种 方案 制订 有 相应 灾难 恢复 计划 ,有 备份 中 心 ,配备 有 部 分 数据 处 理 系统 及 网 络 通信 
系统 ,并 通过 网 络 将 关键 数据 进行 备份 并 存放 至 异地 ,一旦 灾难 发 生 ,需要 的 关键 数据 通过 
网 络 可 迅速 恢复 ,通过 网 络 切换 ,关键 应 用 恢复 时 间 可 降低 到 一 天 或 小 时 级 。 但 由 于 备份 站 
点 要 保持 持续 运行 ,对 网 络 的 要 求 较 高 ,因此 成 本 相应 有 所 增加 。 

4 级 : 定时 数据 备份 。 

这 一 方案 是 在 第 3 级 容 灾 方 案 的 基础 上 ,利用 备份 管理 软件 自动 通过 通信 网 络 将 部 分 
关键 数据 定时 备份 至 异地 ,并 制订 相应 的 灾难 恢复 计划 ;异地 热 备 中 心 保存 的 数据 是 定时 备 
份 的 数据 ,根据 备份 策略 的 不 同 , 数 据 的 丢失 与 恢复 时 间 达 到 天 或 小 时 级 。 一 旦 灾难 发 生 ， 
利用 热 备 中 心 已 有 资源 及 异地 备份 数据 恢复 关键 业务 系统 运行 。 但 投入 成 本 也 会 增加 。 

5 级 : 实时 数据 备份 。 

这 一 容 灾 方案 在 前 面 几 个 级 别 的 基础 上 使 用 了 硬件 的 镜像 技术 和 软件 的 数据 复制 技 
术 ,也 就 是 说 ,可 以 实现 在 应 用 站 点 与 备份 站 点 的 数据 都 被 更 新 。 数 据 在 两 个 站 点 之 间 相 互 
镜像 ,由 远程 异步 提交 来 同步 ,因为 关键 应 用 使 用 了 双重 在 线 存 储 , 所 以 在 灾难 发 生 时 ,仅仅 
很 小 部 分 的 数据 被 丢失 ,恢复 的 时 间 被 降低 到 了 分 钟 级 或 秒 级 。 由 于 对 存储 系统 和 数据 复 
制 软件 的 要 求 较 高 ,所 需 成 本 也 大 大 增加 。 

6 级 : 零 数据 丢失 。 

第 6 级 容 灾 方案 是 灾难 恢复 中 最 昂贵 的 方式 ,也 是 速度 最 快 的 恢复 方式 , 它 是 灾难 恢复 
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的 最 高 级 别 , 利 用 专用 的 存储 网 络 将 关键 数据 同步 镜像 至 备份 中 心 ,数据 不 仅 在 本 地 进行 确 
认 ,而 且 需 要 在 异地 (备份 ) 进 行 确 认 。 因 为 ,数据 是 镜像 地 写 到 两 个 站 点 ,所 以 灾难 发 生 时 
异地 容 灾 系统 保留 了 全 部 的 数据 ,实现 零 数 据 丢 失 。 

这 7 个 层次 对 应 的 容 灾 方案 在 功能 .适用 范围 等 方面 都 有 所 不 同 , 所 以 用 户 在 选 型 时 应 
分 清 层次 。 


5. 简化 的 容 灾 系统 等 级 


由 于 上 述 7 层 比 较 复杂 ,人 们 常 简 化 为 如 下 4 个 等 级 。 

第 0 级 : 没有 备 援 中 心 。 

这 一 级 容 灾 备份 实际 上 没有 灾难 恢复 能 力 , 它 只 在 本 地 进行 数据 备份 ,并 且 被 备份 的 数 
据 只 在 本 地 保存 ,没有 送 往 异地 。 

第 1 级 : 本 地 磁带 备份 ,异地 保存 。 

在 本 地 将 关键 数据 备份 ,然后 送 到 异地 保存 。 灾 难 发 生 后 , 按 预 定数 据 恢复 程序 恢复 系 
统 和 数据 。 这 种 方案 成 本 低 、 易 于 配置 。 但 当 数 据 量 增 大 时 .存在 存储 介质 难 管理 的 问题 ， 
并 且 当 灾难 发 生 时 存在 大 量 数据 难以 及 时 恢复 的 问题 。 为 了 解决 此 问题 ,灾难 发 生 时 , 先 恢 
复 关键 数据 ,后 恢复 非 关 键 数据 。 

第 2 级 : 热 备份 站 点 备份 。 

在 异地 建立 一 个 热 备份 点 ,通过 网 络 进行 数据 备份 。 也 就 是 通过 网 络 以 同步 或 异步 方 
式 , 把 主 站 点 的 数据 备份 到 备份 站 点 ,备份 站 点 一 般 只 备份 数据 ,不 承担 业务 。 当 出 现 灾难 
时 ,备份 站 点 接替 主 站 点 的 业务 ,从 而 维护 业务 运行 的 连续 性 。 

第 3 级: 活动 备 援 中 心 。 

在 相隔 较 远 的 地 方 分 别 建立 两 个 数据 中 心 ,它们 都 处 于 工作 状态 ,并 进行 相互 数据 备 
份 。 当 某 个 数据 中 心 发 生 灾 难 时 , 另 一 个 数据 中 心 接替 其 工作 任务 。 这 种 级 别 的 备份 根据 
实际 要 求 和 投入 资金 的 多 少 , 又 可 分 为 两 种 : 四 两 个 数据 中 心 只 限于 关键 数据 的 相互 备份 ; 
加 两 个 数据 中 心 互 为 镜像 , 即 零 数据 丢失 等 。 零 数据 丢失 是 目前 要 求 最 高 的 一 种 容 灾 备份 
方式 , 它 要 求 不 管 什 么 灾难 发 生 , 系 统 都 能 保证 数据 的 安全 。 所 以 , 它 需 要 配置 复杂 的 管理 
软件 和 专用 的 硬件 设备 ,需要 的 投资 相对 而 言 是 最 大 的 ,但 恢复 速度 也 是 最 快 的 。 


6. 容 灾 方案 


目前 有 很 多 种 容 灾 技术 ,分 类 也 比较 复杂 。 但 总体 上 可 以 区 分 为 离线 式 容 灾 ( 冷 容 灾 ) 
和 在 线 容 灾 ( 热 容 灾 ) 两 种 类 型 。 

1) 离线 式 容 灾 ( 冷 容 灾 ) 

离线 式 容 灾 主 要 依靠 备份 技术 来 实现 。 其 重要 步骤 是 : 将 数据 通过 备份 系统 备份 到 磁 
带 上 面 , 而 后 将 磁带 运送 到 异地 保存 管理 。 这 种 方式 主要 由 备份 软件 来 实现 备份 和 磁带 的 
管理 ,除了 磁带 的 运送 和 存放 外 ,其 他 步 又 可 实现 自动 化 管理 。 整 个 方案 的 部 署 和 管理 比较 
简单 ,相应 的 投资 也 较 少 。 但 缺点 也 比较 明显 : 由 于 采用 磁带 存放 数据 ,所 以 数据 恢复 较 
慢 ,而 且 备 份 窗口 内 的 数据 都 会 丢失 ,实时 性 比较 差 。 对 于 资金 受 限 、 对 数据 恢复 的 RTO 
和 RPO 要 求 较 低 的 用 户 可 以 选择 这 种 方式 。 
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2) 在 线 式 容 灾 ( 热 容 灾 ) 

在 线 式 容 灾 要 求 用 户 工 作 中 心 和 灾 备 中 心 同时 工作 ,用 户 工作 中 心 和 灾 备 中 心 之 间 有 
传输 链 路 连接 。 数 据 自 用 户 工 作 中 心 实时 复制 传送 到 灾 备 中 心 。 在 此 基础 上 ,可 以 在 应 用 
层 进 行 集群 管理 , 当 用 户 工作 中 心 遭 受灾 难 、 出 现 故障 时 ,可 由 灾 备 中 心 自 动 接管 并 继续 提 
供 服务 。 应 用 层 的 管理 一 般 由 专门 的 软件 来 实现 ,可 以 代替 管理 员 实 现 自动 管理 。 由 上 面 
分 析 可 见 ,实现 在 线 式 容 灾 的 关键 是 数据 的 复制 。 


7. 在 线 式 容 灾 的 数据 复制 方式 


数据 复制 的 技术 有 很 多 ,从 实现 复制 功能 的 设备 分 布 上 可 大 体 分 为 3 层 : 服务 器 层 、 存 
储 交 换 机 层 和 存储 层 。 

1) 服务 器 层 

在 用 户 工作 中 心 和 灾 备 中 心 的 服务 器 上 安装 专用 的 数据 复制 软件 ,以 实现 远程 复制 功 
能 。 两 中 心间 必须 有 网 络 连接 作为 数据 通道 。 可 以 在 服务 器 层 增 加 应 用 远程 切换 功能 软 
件 , 从 而 构成 完整 的 应 用 级 容 灾 方案 。 这 种 数据 复制 方式 相对 投入 较 少 ,主要 是 软件 的 采购 
成 本 。 另 外 ,其 兼容 性 较 好 ,可 以 兼容 不 同 品牌 的 服务 器 和 存储 设备 , 较 适 合 硬件 组 成 复杂 
的 用 户 。 但 这 种 方式 要 在 服务 器 上 运行 软件 ,不 可 避免 地 对 服务 器 性 能 产生 影响 。 

2) 存储 交换 机 层 

存储 交换 机 技术 的 发 展 使 交换 机 可 以 实现 更 多 的 功能 .很 多 原来 由 服务 器 和 存储 设备 
实现 的 功能 现在 也 可 在 交换 机 层 实 现 , 比 如 存储 虚拟 化 。 由 于 交换 机 可 以 管理 和 复制 的 数 
据 是 存放 在 存储 层 的 ,因此 用 户 需 要 将 数据 都 存储 在 交换 机 所 连接 的 存储 设备 中 ,这 样 就 可 
以 实现 交换 机 对 数据 的 管理 和 复制 。 目 前 采用 这 种 方案 的 用 户 比 较 少 。 

3) 存储 层 

远程 数据 复制 功能 几乎 是 现 有 中 高 端 产品 的 必 备 功能 。 要 实现 数据 的 复制 ,需要 在 用 
户 工 作 中 心 和 灾 备 中 心 都 部 署 一 套 这 样 的 存储 系统 ,数据 复制 功能 由 存储 系统 实现 。 距 离 
比较 近 ( 几 十 公里 之 内 ) 时 ,之 间 的 链 路 可 由 两 中 心 的 存储 交换 机 通过 光纤 直接 连接 ;距离 在 
200km 内 时 ,可 通过 增加 DWDM 等 设备 直接 进行 光纤 连接 ;距离 超过 200km, 则 可 增加 存 
储 路 由 器 进行 协议 转换 ,途经 WAN 或 Internet 实现 连接 。 因 此 ,从 理论 上 可 实现 无 限制 连 
接 。 在 存储 层 实现 数据 复制 功能 是 很 成 熟 的 技术 ,而 且 对 应 用 服务 器 的 性 能 基本 没有 影响 。 
在 应 用 层 增加 远程 集群 软件 后 就 可 以 实现 自动 灾难 切换 的 整体 容 灾 解决 方案 。 这 种 容 灾 方 
案 稳定 性 高 ,对 服务 器 性 能 基本 无 影响 ,是 目前 容 灾 方案 的 主流 选择 。 


8. 灾难 检测 技术 


对 于 一 个 容 灾 系 统 来 讲 , 在 灾难 发 生 时 ,尽早 地 发 现 生产 系统 端的 灾难 ,尽快 地 恢复 生 
产 系 统 的 正常 运行 或 者 尽快 地 将 业务 迁移 到 备用 系统 上 .都 可 以 将 灾难 造成 的 损失 降低 到 
最 低 。 除 了 依靠 人 力 来 对 灾难 进行 确定 之 外 ,对 于 系统 意外 停机 等 灾难 还 需要 容 灾 系统 能 
够 自动 地 检测 灾难 的 发 生 , 目 前 容 灾 系统 的 检测 技术 一 般 采 用 心跳 技术 。 
心跳 技术 的 一 个 实现 是 : 生产 系统 在 空闲 时 每 隔 一 段 时 间 向 外 广播 一 下 自身 的 状态 ， 
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检测 系统 在 收 到 这 些 “ 心 跳 信 号 ”之 后 , 便 认为 生产 系统 是 正常 的 。 若 在 给 定 的 一 段 时 间 内 
没有 收 到 “心跳 信号 ”, 检 测 系 统 便 认为 生产 系统 出 现 了 非 正常 的 灾难 。 心 跳 技 术 的 另外 一 
个 实现 是 : 每 隔 一 段 时 间 ,检测 系统 就 对 生产 系统 进行 一 次 检测 ,如果 在 给 定 的 时 间 内 ,被 
检测 的 系统 没有 响应 , 则 认为 被 检测 的 系统 出 现 了 非 正 常 的 灾难 。 心 跳 技 术 中 的 关键 点 是 
心跳 检测 的 时 间 和 时 间 间 隔 周期 。 如 果 间 隔 周 期 短 , 会 给 系统 带 来 很 大 的 开销 。 如 果 间 隔 
周期 长 , 则 无 法 及 时 地 发 现 故障 。 


9. 系统 迁移 技术 


灾难 发 生 后 ,为 了 保持 生产 系统 的 业务 连续 性 ,需要 实现 系统 的 透明 性 迁移 ,利用 备用 
系统 透明 地 代替 生产 系统 进行 运作 。 一 般 对 实时 性 要 求 不 高 的 容 灾 系统 ,例如 Web 服务 、 
邮件 服务 器 等 ,可 以 通过 修改 DNS 或 者 卫 来 实现 ,对 实时 性 要 求 高 的 容 灾 系统 , 则 需要 将 
生产 系统 的 应 用 透明 地 迁移 到 备用 系统 上 。 目 前 基于 本 地 机 群 的 进程 迁移 的 算法 可 以 应 用 
在 远程 容 灾 系统 中 ,但 是 需要 对 迁移 算法 进行 改进 ,使 之 适应 复杂 的 网 络 环境 。 


5.3 数字 证 据 获 取 


现在 ,信息 系统 的 攻击 和 对 抗 已 经 不 仅仅 是 技术 领域 和 管理 领域 的 问题 了 。 许 多 问题 
已 经 涉 讼 ,成 为 法 学 案件 。 随 着 数字 犯罪 案件 的 增多 ,数字 证 据 的 获取 已 经 成 为 信息 技术 和 
法 学 家 们 共同 关注 的 热点 。 

数字 证 据 也 称 为 计算 机 证 据 。 对 于 它 的 研究 最 早 是 从 应 急 响 应 的 角度 开始 的 ,目的 是 
为 了 搜集 攻击 者 的 有 关 信 息 。 直 到 2001 年 人 们 才 转 移 到 从 司法 的 角度 来 看 待 它 , 关 于 它 的 
人 研究 , 才 从 纯 技 术 领 域 转向 技术 与 法 学 的 结合 上 。 


5.3.1 数字 证 据 的 特点 与 数字 取证 的 基本 原则 
1. 数字 证 据 的 特点 


数字 证 据 就 在 计算 机 或 计算 机 系统 运行 过 程 中 产生 的 、 以 其 记录 的 内 容 来 证 明 案 件 事 
实 的 电磁 记录 。 与 其 他 证 据 相 比 , 它 有 如 下 一 些 特点 。 

1) 依附 性 和 多 样 性 

电磁 证 据 依 附 在 不 同 介 质 上 。 这 就 带 来 两 个 方面 的 特点 : 一 是 数字 证 据 不 会 像 传统 的 
证 据 那样 可 以 独立 存在 :二 是 不 同 的 介质 使 同样 的 信息 表现 出 不 同 的 形态 :如 在 导体 中 是 以 
电流 或 电压 表现 的 数字 脉冲 ,在 显示 器 上 是 文字 或 图 形 , 在 磁盘 中 是 磁 核 的 排列 形式 ,在 光 
缆 中 是 光波 等 。 

2) 可 伪 性 和 弱 证 明 性 

数字 证 据 的 非 实 物性 ,使 得 其 窃取 修改 甚至 销毁 都 比较 容易 。 例 如 ,黑客 在 和 人 侵 之 后 ， 
可 以 对 现场 进行 一 些 灭 迹 、 制 造假 象 等 工作 ,给 证 据 的 认定 带 来 困难 ,直接 减低 了 证 明 力 度 ， 
增加 了 跟踪 和 侦查 的 难度 。 
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3) 数据 的 挥发 性 
计算 机 系统 中 所 处 理 的 数据 有 一 些 是 动态 的 。 这 些 动态 数据 对 于 发 现 犯罪 的 蛛丝马迹 
非常 有 用 。 但 是 它们 却 有 一 定 的 时 间 效 应 。 即 有 些 数 据 会 因 失效 或 消失 而 挥发 。 在 收集 数 


字 证 据 时 必须 充分 考虑 数据 的 挥发 性 。 表 5. 1 描述 了 数字 证 据 数 据 的 挥发 性 。 
表 5.1 数字 证 据 的 挥发 性 


数据 硬件 或 位 置 存活 时 间 


CPU 高 速 缓冲 器 ,管道 几 个 时 钟 周期 


系统 RAM 关机 前 


内 核 表 进程 中 关机 前 


固定 介质 Swap/tmp 直至 被 覆盖 或 被 抹 掉 


可 移动 介质 CD-ROM,Floppy,HDO 直至 被 覆盖 或 被 抹 掉 


打印 输出 被 打印 输出 直至 被 毁坏 


2. 数字 取证 的 基本 原则 

实施 数字 取证 应 当 遵循 如 下 原则 : 符合 程序 ,共同 监督 ,保护 隐私 ,影响 最 小 ,连续 完 
全 , 原 汁 原味 。 下 面 分 别 予 以 说 明 。 

1) 符合 程序 

取证 应 当 首 先 启 动 法 律 程序 ,要 在 法 律 规定 的 范围 内 展开 工作 ,否则 会 陷入 被 动 。 

2) 共同 监督 

由 原告 委派 的 专家 所 进行 的 整个 检查 、 取 证 过 程 必须 受到 由 其 他 方 委派 的 专家 的 监督 。 

3) 保护 隐私 

在 取证 过 程 中 ,要 尊重 任何 关于 客户 代理 人 的 隐私 。 一 旦 获取 了 一 些 关于 公司 或 个 人 
的 隐私 , 决 不 能 泄露 。 

4) 影响 最 小 

。 如 果 取 证 要 求 必 须 运行 某 些 业务 程序 ,应 当 使 运行 时 间 尽 量 短 。 

。 必须 保证 取证 不 给 系统 带 来 副作用 ,如 引进 病毒 等 。 

5) 连续 完全 

必须 保证 证 据 的 连续 性 (chain of custody) , 即 在 将 证 据 提 交 法 庭 前 要 一 直 跟 踪 证 据 ,要 
向 法 庭 说 明 在 这 段 时 间 内 证 据 有 无 变化 。 此 外 ,要 向 法 庭 说 明 该 证 据 的 完全 性 。 

6) 原 汁 原味 

。 必须 保证 提取 出 来 的 证 据 不 受 电磁 或 机 械 的 损害 。 

。 必须 保证 收集 的 证 据 不 被 取证 程序 破坏 。 
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5.3.2 数字 取证 的 一 般 步 骤 
数字 取证 过 程 一 般 可 以 按 如 下 步骤 进行 。 
1. 保护 现场 


(1) 在 取证 过 程 中 ,保护 目标 系统 ,避免 发 生 任何 改变 、 损 害 。 

(2) 保护 证 据 的 完整 性 ,防止 证 据 信息 的 丢失 和 破坏 。 

(3) 防止 病毒 感染 。 

2. 证 据 发 现 

证 据 发 现 首 先 要 识别 可 获取 证 据 的 信息 类 型 。 按 照 证 据 信 息 变 化 的 特点 ,可 以 将 取证 
分 为 两 大 类 : 

(1) 来 源 取 证 。 即 确定 犯罪 嫌疑 人 或 者 证 据 的 来 源 。 例 如 在 网 络 犯罪 侦查 中 ,为 了 确 
定 犯 罪 嫌疑 人 ,可 能 需要 找到 犯罪 嫌疑 人 犯罪 时 使 用 的 机 器 的 IP 地 址 , 则 寻找 IP 地 址 便 是 
来 源 取证 。 这 类 取证 中 ,主要 有 IP 地 址 取证 .MAC 地 址 取证 .电子 邮件 取证 .软件 账号 取 
证 等 。 

(2) 事实 取证 。 即 不 是 为 了 查 明 犯罪 嫌疑 人 ,而 是 取得 与 证 明 案 件 相 关 事 实 的 证 据 ， 
例如 犯罪 嫌疑 人 的 犯罪 事实 证 据 。 在 事实 取证 中 常见 的 取证 方法 有 文件 内 容 调查 、 使 用 
痕迹 调查 、 软 件 功能 分 析 、 软 件 相似 性 分 析 、 日 志文 件 分 析 、 网 络 状态 分 析 、 网 络 数据 包 分 
析 等 。 

下 面 是 可 以 作为 证 据 或 可 以 提供 相关 信息 的 信息 源 。 

(1) 日 志 , 如 操作 系统 日 志 等 。 

(2) 文件 ,如 可 以 进行 的 文件 搜索 有 以 下 几 种 : 

。 搜索 目标 系统 中 的 所 有 文件 (包括 现存 的 正常 文件 .已 经 被 删除 但 仍 存在 于 磁盘 上 

还 没有 被 覆盖 的 文件 .隐藏 文件 . 受 密码 保护 的 和 加 密 文件 ) 。 
。 尽量 恢复 所 发 现 的 文件 。 
。 在 法 律 允许 的 情况 下 ,访问 被 保护 或 加 密 的 文件 。 
。 分 析 磁 盘 特 殊 区 域 ( 未 分 配 区 域 文件 栈 区 等 )。 

(3) 系统 进程 ,如 进程 名 、 进 程 访问 文件 等 。 

(4) 用 户 ,特别 是 在 线 用 户 的 服务 时 间 、 使 用 方式 等 。 

(5) 系统 状态 ,如 系统 开放 的 服务 .网络 运行 的 状态 等 。 

(6) 通信 连接 记录 ,如 网 络 路 由 器 的 运行 日 志 等 。 

(7) 存储 介质 ,如 磁盘 、 光 盘 .闪存 等 。 

在 证 据 发 现 阶段 可 以 使 用 的 技术 有 IDS、 蜜 饶 技 术 、 网 络 线索 自动 识别 技术 和 溯源 技术 
等 。 同 时 还 可 以 使 用 一 些 相 关 的 工具 。 表 5. 2 为 一 些 常用 实时 取证 类 工具 。 


3. 证 据 固定 


针对 数字 证 据 的 挥发 性 ,数字 证 据 的 固定 非常 重要 。 
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表 5.2 一 些 常用 实时 取证 类 工具 
工具 和 名称 用 途 描 述 
EnCase 一 个 集成 的 .基于 Windows 的 取证 应 用 程序 ,功能 包括 数据 浏览 .搜索 、 磁 


盘 浏 览 .数据 预览 建立 案例 、 建 立 证 据 文件 .保存 案例 等 


X-Ways Capture 


一 套 专 业 的 计算 机 取证 工具 ,用 于 在 证 据 采集 阶段 获取 正在 运行 的 
Windows 和 Linux 系统 下 的 硬盘 ,文件 和 RAM 数据 


FTK 


美国 警方 标准 配备 、 全 球 警方 使 用 量 较 多 的 电子 证 据 分 析 软 件 


效率 源 DataCompass 


第 四 代 专 业 数据 恢复 工具 :用 于 硬盘 数据 和 U 盘 数 据 恢复 


CRCMD5 一 个 可 以 验证 一 个 或 多 个 文件 内 容 的 CRC 工具 
DiskSig 一 个 CRC 程序 ,用 于 验证 映像 备份 的 精确 性 
Filter_we 一 种 用 于 周围 环境 数据 的 智能 模糊 逻辑 过 滤器 
GetSlack 一 种 周围 环境 数据 收集 工具 ,用 于 捕获 未 分 配 的 数据 
GetTime 一 种 周围 环境 数据 收集 工具 ,用 于 捕获 分 散 的 文件 


Net Threat Analyzer 
Seized 
ShowFL 


TextSearch Plus 


4. 证 据 提 取 


网 络 取 证 分 析 软 件 , 用 于 识别 公司 互联 网 络 账号 滥用 
一 种 用 于 对 证 据 计算 机 上 锁 及 保护 的 程序 

用 于 分 析 文 件 输出 清单 的 程序 

用 来 定位 文本 或 图 形 文件 中 的 字符 串 的 工具 


证 据 提取 主要 是 提取 特征 。 提 取 方 法 如 下 : 


(1) 过 滤 和 挖掘 。 


(2) 解码 : 对 软件 或 数据 碎片 进行 残缺 分 析 、 上 下 文 分 析 ,恢复 原来 的 面貌 。 


5. 证 据 分 析 


证 据 分 析 的 目的 大 致 有 以 下 几 个 方面 : 


(1) 犯罪 行为 重 构 。 
(2) 嫌疑 人 画像 。 
(3) 确定 犯罪 动机 。 


(4) 受害 程度 行为 分 析 等 。 


6. 提交 证 据 


向 律师 、 管 理 者 或 法 庭 提交 证 据 。 


这 时 要 注意 使 用 规定 的 法 律 文书 格式 和 术语 。 


s.3.3 数字 取证 的 基本 技术 和 工具 
在 数字 取证 过 程 中 ,可 以 使 用 相关 的 技术 和 工具 。 


现在 已 经 开发 出 了 这 样 一 些 工 具 。 
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表 5. 3 为 可 以 提供 计算 机 及 网 络 攻击 取证 的 一 些 网 站 。 
表 5.3 ”提供 计算 机 及 网 络 攻击 取证 工具 的 一 些 网 站 
资 源 类 型 网 络 地 址 


TCT 取证 软件 包 


http://www. fish. com/forensics/ 


Encase http://www. encase. com/ 
计算 机 取证 分 析 http://www. porcupine. org/forensics/ 


Computer Forensics Tool Testing(CFTT) http://www. cftt. nist. gov/ 


文件 及 介质 取证 工具 箱 Sleuth Kit 


http://www. sleuthkit. org/sleuthkit/index. php 


开放 源 代码 数字 取证 


http://www. opensourceforensics. org/ 


下 面 重点 介绍 利用 IDS 和 蜜 钠 取 证 的 方法 。 
1. 利用 IDS 取证 


把 IDS 与 取证 工具 结合 ,往往 能 对 网 络 攻击 进行 取证 并 得 到 响应 。 
1) 确认 攻击 
确认 攻击 是 响应 的 第 一 步 ,其 主要 方法 是 查找 攻击 留 下 的 痕迹 。 检 查 的 主要 内 容 如 下 : 
。 寻找 嗅 探 器 (如 Sniffer) 。 
。 寻找 远程 控制 程序 (如 netbus、back orifice) 。 
。 寻找 黑客 可 能 利用 的 文件 共享 或 通信 程序 (如 eggdrop \irc) 。 
。 寻找 特权 程序 (如 find/-perm-4000-print) 。 
。 寻找 未 授权 的 服务 (如 netstat -a、check inetd. conf) 。 
。 寻找 异常 文件 (考虑 系统 磁盘 大 小 ) 。 
。 检查 文件 系统 的 变动 。 
。 检查 口令 文件 的 变动 并 寻找 新 用 户 。 
。 检测 cron 和 at jobs。 
。 核对 系统 和 网 络 配置 (特别 要 注意 过 滤 规 则 ) 。 
。 检查 所 有 主机 (特别 是 服务 器 ) 。 
2) 取证 过 程 
(1) 决定 取证 的 目的 : 
。 观察 研究 攻击 者 。 
。 跟踪 并 驱赶 攻击 者 。 
。 捕 俘 攻击 者 。 
。 准备 起 诉 攻击 者 。 
(2) 启动 必要 的 法 律 程 序 。 
(3) 对 系统 进行 完全 备份 ,包括 : 
。 用 tcpdumop 作 完 全 的 分 组 日 志 。 
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。 有 关 协 议 分 组 的 来 龙 去 脉 。 

。 一 些 会 话 ( 如 Telnet\rlogin IRC、FTP 等 ) 的 可 能 内 容 。 
(4) 根据 情况 有 选择 地 关闭 计算 机 系统 : 

。 不 彻底 关闭 系统 (否则 造成 信息 改变 ,证 据 破坏 ) 。 
。 不 断 开 网 络 。 

。 将 系统 备份 转移 到 单 用 户 模式 下 制作 和 验证 备份 。 
。 考虑 制作 磁盘 镜像 。 

。 同步 磁盘 ,暂停 系统 。 

(5) 调查 攻击 者 来 源 : 

。 利用 tcpdump/who/syslog。 

。 运行 finger 对 抗 远程 系统 。 

。 寻找 攻击 者 可 能 利用 的 账号 。 


2. 利用 密 缸 取证 


利用 蜜 饶 进 行 取证 分 析 的 一 些 原则 和 步骤 如 下 。 

(1) 获取 入 侵 者 信息 。 

(2) 获取 关于 攻击 的 信息 : 

。 攻击 的 手段 .日 期 和 时 间 。 

。 入 侵 者 添加 了 一 些 什么 文件 ? 

。 是 否 安装 了 嗅 探 器 或 密码 ? 若 有 ,在 何 处 ? 

。 是 否 安装 有 rootkit 或 木马 程序 ? 车 有 ,传播 途径 是 什么 ? 
(3) 建立 事件 的 时 间 序 列 。 

(4) 事故 费用 分 析 。 

(5) 向 管理 层 媒体 以 及 法 庭 提 交 相 应 的 报告 。 


5.3.4 数字 证 据 的 法 律 问题 


数字 证 据 学 是 涉及 信息 技术 和 法 学 两 个 领域 的 交叉 学 科 。 下 面 讨 论 它 在 法 学 方面 的 一 
些 问题 。 


1. 法 律 对 证 据 的 基本 要 求 


法 律 对 作为 定案 依据 的 证 据 , 有 真实 性 、 合 法 性 和 关联 性 3 方面 要 求 。 

一 般 而 言 ,关联 性 主要 指证 据 与 案件 争议 和 理由 的 联系 程度 ,这 属于 法 官 裁判 的 范围 。 
合法 性 主要 包括 证 据 的 形式 ,收集 手段 .是 否 侵犯 他 人 权益 .取证 工具 是 否 合法 等 。 这 在 后 
面 要 进行 有 关 的 讨论 。 

关于 证 据 的 真实 性 ,民事 诉讼 法 和 相关 司法 解释 都 要 求 提 供 “ 原 件 ”( 书 面 文件 )。 因 为 
这 种 看 得 见 、 摸 得 着 的 东西 才能 给 人 充分 的 真实 感 和 唯一 性 ,才能 防止 被 纂 改 和 冒 认 。 而 数 
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字 证 据 的 真实 性 的 确认 一 直 是 人 们 最 关注 的 问题 。 目 前 ,人 们 想 用 数字 签名 的 方法 来 解决 
这 一 法 律 难 题 。 通 过 数字 签名 ,可 以 证 明 签发 数字 证 据 的 人 是 谁 , 也 可 以 证 明 数 字 证 据 是 否 
被 自 改 过 。 


2. 关于 数字 证 据 的 证 明 力 


证 据 的 证 明 力 是 指证 据 对 证 明 案 件 事实 所 具有 的 效力 , 即 该 证 据 是 否 能 够 直接 证 明 案 
件 事实 还 需要 其 他 证 据 配 合 综合 认定 。《 中 华人 民 共 和 国 刑事 诉讼 法 》(2013 版 ) 第 五 章 第 
四 十 八条 规定 ,可 以 用 于 证 明 案 件 事实 的 材料 都 是 证 据 , 包 括 : 

(1) 物证 ; 

(2) 书证 ; 

(3) 证 人 证 言 ; 

(4) 被 害 人 陈述 ; 

(5) 犯罪 嫌疑 人 、 被 告 人 供述 和 辩解 ; 

(6) 鉴定 意见 ; 

(7) 勘 验 .检查 .辨认 .侦查 实验 等 笔录 ; 

(8) 视听 资料 .电子 数据 。 

3. 关于 数字 取证 工具 的 法 律 效力 

数字 证 据 的 合法 性 涉及 数字 取证 工具 的 法 律 效 力 , 即 法 庭 是 否认 可 。 每 种 工具 都 是 一 
个 程序 。 按 照 Daubert 测试 ,可 以 从 下 面 4 个 方面 进行 讨论 。 

1) 可 测试 性 

测试 的 目的 是 为 了 确定 一 个 程序 是 否 可 以 被 测试 并 确定 它 所 提供 的 结果 的 准确 性 。 对 
一 个 工具 必须 执行 两 类 测试 : 

。 漏 判 测试 : 确认 取证 工具 是 否 可 以 在 输入 输出 端 提取 所 有 可 以 得 到 的 数据 。 

。 误 判 测试 : 确认 取证 工具 在 输入 输出 端 没有 引入 新 的 数据 。 

2) 错误 率 

测试 用 于 识别 在 数字 取证 工具 中 是 否 存 在 已 知 的 错误 。 在 数字 取证 工具 中 ,可 能 存在 
两 类 错误 : 

。 工具 执行 错误 : 源 于 代码 中 的 漏洞 的 错误 。 

。 提取 错误 : 源 自 算法 的 错误 。 

3) 公开 性 

公开 性 指 工具 在 公开 地 方 有 证 明 并 经 过 对 等 部 门 复 查 。 这 是 证 据 得 以 承认 的 主要 
条 件 。 

4) 可 接受 性 

可 接受 性 指 工具 能 够 被 广泛 接受 。 
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5.3.5 目 志 


1. 日 志 及 其 用 途 


日 志 (log) 是 系统 所 指定 对 象 的 某 些 操作 和 其 操作 结果 按时 间 有 序 的 集合 ,是 记录 信息 
系统 安全 状态 和 问题 的 原始 数据 。 通 常情 况 下 ,系统 日 志 是 用 户 可 以 直接 阅读 的 文本 文件 。 
每 个 日 志文 件 由 日 志 记 录 组 成 ,每 条 日 志 记 录 描 述 了 一 次 单独 的 系统 事件 。 典 型 的 日 志 
容 有 以 下 几 种 。 

。 事件 的 性 质 : 数据 的 输入 和 输出 ,文件 的 更 新 (改变 或 修改 ) ,系统 的 用 途 或 期 望 。 

。 全 部 相关 标识 : 人 设备 和 程序 。 

。 有 关 事 件 的 信息 : 日 期 和 时 间 , 成 功 或 失败 ,涉及 因素 的 授权 状态 ,转换 次 数 , 系 统 

响应 ,项 目 更 新 地 址 ,建立 、 更 新 或 删除 信息 的 内 容 , 使 用 的 程序 ,兼容 结果 和 参数 检 
测 ,侵权 步骤 等 。 对 大 量 生成 的 日 志 要 适当 考虑 数据 的 保存 期 限 。 

日 志文 件 中 的 记录 可 提供 以 下 用 途 : 

”监控 系统 资源 :审计 用 户 行为 ;对 可 疑 行 为 进行 告警 。 

。 确定 和 人 侵 行为 的 范围 ;为 恢复 系统 提供 帮助 :生成 调查 报告 。 

。 为 打击 计算 机 犯罪 提供 证 据 来 源 。 


2. 日 志 的 特点 


(1) 数据 量 大 。 

通常 对 外 服务 产生 的 日 志文 件 , 如 Web 服务 日 志 、 防 火 墙 \ 人 侵 检 测 系 统 日 志和 数据 库 
日 志 以 及 各 类 服务 器 日 志 等 都 很 大 ,一 个 日 志文 件 一 天 产生 的 容量 少 则 几 十 MB、 几 百 MB， 
多 则 有 几 个 GB 、 几 十 个 GB。 

(2) 日 志 仅 反映 本 系统 的 某 些 特定 事件 的 操作 情况 

一 个 系统 的 日 志 是 对 本 系统 涉及 的 运行 状况 的 信息 按时 间 顺 序 作 一 简单 的 记录 , 仅 反 
映 本 系统 的 某 些 特定 事件 的 操作 情况 ,并 不 完全 反映 某 一 用 户 的 整个 活动 情况 。 一 个 用 户 
在 网 络 活动 的 过 程 中 会 在 很 多 的 系统 日 志 中 留 下 痕迹 ,如 防火 墙 IDS 日 志 、 操 作 系 统 日 志 
等 ,这 些 不 同 的 日 志 之 间 存 在 某 种 必然 的 联系 来 反映 用 户 的 活动 情况 。 只 有 将 多 个 系统 的 

日 志 结 合 起 来 分 析 ,才能 准确 反映 用 户 活 动情 况 。 

(3) 产生 系统 日 志 的 软件 通常 为 应 用 系统 。 

产生 系统 日 志 的 软件 通常 为 应 用 系统 而 不 是 作为 操作 系统 的 子 系统 运行 ,所 产生 的 日 
志 记 录 容 易 遭 到 恶意 的 破坏 或 修改 。 系 统 日 志 通 常 存储 在 系统 未 经 保护 的 目录 中 ,并 以 文 
本 方式 存储 ,未 经 加 密 和 校 验 处 理 , 没 有 提供 防止 恶意 算 改 的 有 效 保护 机 制 。 因 此 ,日 志文 
件 并 不 一 定 是 可 靠 的 ,入 侵 者 可 能 会 算 改 日 志文 件 , 从 而 不 能 被 视 为 有 效 的 证 据 。 由 于 日 志 
是 直接 反映 入 侵 者 六 迹 的 ,在 计算 机 取证 中 扮演 着 重要 的 角色 ,和信 侵 者 获取 系统 权限 窃取 机 
密 信息 或 破坏 重要 数据 后 往往 会 修改 或 删除 与 其 相关 的 日 志 人 信息, 甚至 根据 系统 的 漏洞 伪 
造 日 志 以 迷惑 系统 管理 员 和 审计 。 
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(4) 日 志 记 录 不 会 长 期 保存 。 

系统 日 志 是 根据 日 志文 件 占用 磁盘 空间 的 大 小 来 自动 删除 旧 的 日 志 记 录 , 比 如 ,如 果 设 
置 日 志文 件 占 用 磁盘 空间 为 2MB ,那么 ,当日 志文 件 达 到 2MB 大 小 时 ,新 的 日 志 记 录 会 自 
动 蔡 换 最 旧 的 日 志 记 录 。 


3. Windows 日 志 


1) 日 志 类 型 及 其 组 成 

以 Windows 2000/XP 为 例 , 日 志文 件 通 常 有 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、DNS 
服务 器 日 志 、FTP 日 志和 WWW 日 志 等 。 默 认 文 件 大 小 为 Sl 相 首 赵 供 汕 取 站 站 这 洒 
默认 值 。 

应 用 程序 日 志 : 记录 由 应 用 程序 产生 的 事件 。 例 如 , 某 个 数据 库 程序 可 能 设 定 为 每 次 
成 功 完成 备份 操作 后 都 向 应 用 程序 日 志 发 送 事 件 记录 信息 。 应 用 程序 日 志 中 记录 的 时 间 类 
型 由 应 用 程序 的 开发 者 决定 ， 并 提供 相应 的 系统 工具 帮助 用 户 使 用 应 用 程序 日 志 。 

系统 日 志 : 记录 由 Windows NT/2000 操作 系统 组 件 产 生 的 事件 ,主要 包括 驱动 程序 
系统 组 件 和 应 用 软件 的 骨 泪 以 及 数据 丢失 错误 等 。 系 统 日 志 中 记录 的 时 间 类 型 由 
Windows NT/2000 操作 系统 预先 定义 。 

安全 日 志 : 记录 与 安全 相关 事件 ,包括 成 功 和 不 成 功 的 登录 或 退出 、 系 统 资源 使 用 事件 
等 。 与 系统 日 志和 应 用 程序 日 志 不 同 ,安全 日 志 只 有 系统 管理 员 才 可 以 访问 。 

Windows NT/2000 的 系统 日 志 由 事件 记录 组 成 。 每 个 事件 记录 为 3 个 功能 区 : 记录 
头 区 .事件 描述 区 和 附加 数据 区 。 

2) 日 志文 件 默认 位 置 

应 用 程序 日 志 : %sys temroot%ANsys tem32\config\AppEvent. EVT。 

系统 日 志 : %sys temroot%Nsys tem32N\config\SysEvent.EVT。 

安全 日 志 : %sys temroot%W%Nsys tem32Nconfig\SecEvent.EVT。 

FTP 日 志 : %sys temroot%Nsys tem32\logfiles\msftpsvcl\。 

WWW 日 志 : %%sys temroot%ANsys tem32\logfiles\w3svcl\。 

Scheduler 服务 日 志 : %sys temroot%Nschedlgu. txt。 

3) 查看 日 志 

查看 日 志 有 两 种 方法 : 

。 选择 “开始 ”一 “设置 ”一 “控制 面板 ”>“ 管 理工 具 ”, 在 其 中 找到 “事件 查看 器 ”。 

。 选择 “开始 ”>“ 运 行 ”, 输 入 eventvwr. msc, 可 以 直接 进入 “事件 查看 器 ”。 

4) 设置 日 志保 留 方式 

在 Windows 的 “属性 ”对 话 框 中 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,进行 如 下 选择 : 

。“ 按 需要 改写 事件 ”, 选 择 将 系统 日 志 存 档 。 

。“ 按 天 数 改 写 事件 ”设置 合 适 的 保存 天 数 , 但 要 确保 系统 日 志 足 够 大 。 

。“ 不 要 改写 事件 (手动 清除 日 志 )”, 这 种 情况 下 ,如 果 达 到 最 大 的 日 志 大 小 ,将 丢弃 新 

事件 。 
。 268 。 


4. UNIX 日 志 

1) 日 志 函 数 syslog 

UNIX 系统 采用 syslog 函数 记录 日 志 。 任 何 程 序 都 可 以 通过 syslog 记录 事件 。syslog 
可 以 记录 系统 事件 ,可 以 写 到 一 个 文件 或 设备 中 ,或 给 用 户 发 送 一 个 信息 。 它 能 记录 本 地 事 
件 或 通过 网 络 记 录 另 一 台 主 机 上 的 事件 。 

syslog 依据 两 个 重要 的 文件 /sbin/syslogd (守护 进程 ) 和 /etc/syslog. conf 配置 
文件 。 

2) 日 志 子 系统 

在 Linux 系统 中 ,有 3 个 主要 的 日 志 子 系统 。 

(1) 连接 时 间 日 志 : 由 多 个 程序 执行 ,把 记录 写 和 人 到 /var/log/wtmp 和 /var/run/utmp， 
login 等 程序 更 新 wtmp 和 utmp 文件 ,使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 系统 。 

(2) 进程 统计 日 志 : 由 系统 内 核 执 行 。 当 一 个 进程 终止 时 ,为 每 个 进程 往 进程 统计 文 
件 (pacct 或 acct) 中 写 一 个 记录 。 进 程 统 计 的 目的 是 为 系统 中 的 基本 服务 提供 命令 使 用 
统计 6 

(3) 错误 日 志 : 由 syslogd 执行 。 各 种 系统 守护 进程 、 用 户 程 序 和 内 核 通过 syslog 向 文 
件 /var/log/messages 报告 值得 注意 的 事件 。 另 外 有 许多 UNIX 程序 创建 日 志 。 像 HTTP 
和 FTP 这 样 提供 网 络 服务 的 服务 器 也 保持 详细 的 日 志 。 

3) UNIX 常用 日 志文 件 

lastlog: 记录 用 户 最 后 一 次 成 功 登 录 时 间 。 

loginlog: 不 良 的 登录 尝试 记录 。 

messages: 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 消息 。 

utmp: 记录 当前 登录 的 每 个 用 户 。 

utmpx: 扩展 的 utmp。 

wtmp: 记录 每 一 次 用 户 登 录 和 注销 的 历史 信息 。 

wtmpx: 扩展 的 wtmp。 

vold. log: 记录 使 用 外 部 介质 出 现 的 错误 。 

xferkig: 记录 FTP 的 存 取 情 况 。 

sulog: 记录 su 命令 的 使 用 情况 。 

acct: 记录 每 个 用 户 使 用 过 的 命令 。 

aculog: 发 出 自动 呼叫 记录 。 

boot. log: 记录 开机 启动 信息 。 

secure: 登录 到 系统 存 取 资料 的 记录 ,如 FTP、SSH、Telnet 等 。 

4) 日 志文 件 的 位 置 

在 UNIX 下 ,存放 日 志文 件 的 常用 目录 如 下 : 

。 /usr/adm( 早 期 版 本 的 ); 

。 unix/var/adm( 较 新 版 本 的 ); 


”269 。 


。 unix/var/log( 用 于 Solaris、Linux 和 BSD 等 ) 。 

5) 日 志 管 理 命令 

UNIX 下 日 志 查 看 和 保留 设置 用 命令 方式 进行 ,有 兴趣 者 请 查阅 有 关 资 料 ,这 里 不 再 
介绍 。 


5.4 信息 系统 安全 风险 评估 与 审计 


安全 管理 的 第 一 步 就 是 建立 一 个 全 局 的 安全 目标 ,然后 才能 围绕 这 个 总 体 目 标 指定 系 
统 的 安全 策略 。 但 是 ,由 于 信息 系统 的 重要 性 和 激烈 的 攻防 对 抗 ,使 得 信息 系统 的 脆弱 性 和 
面临 的 威胁 不 可 避免 ,也 使 得 人 们 不 可 能 建立 完全 安全 的 、 没 有 风险 的 信息 系统 。 这 里 , 风 
险 就 是 脆弱 性 和 威胁 的 总 和 。 一 个 现实 的 目标 则 是 ,通过 对 于 要 保护 的 资产 以 及 系统 受到 
的 潜在 威胁 的 分 析 , 把 系统 风险 降低 到 可 以 接受 的 水 平 。 这 就 是 信息 系统 安全 风险 评估 。 


5.4.1 信息 系统 安全 风险 评估 及 其 目的 
1. 信息 系统 安全 风险 评估 的 概念 


系统 的 安全 强度 可 以 通过 风险 大 小 衡量 。 科 学 地 分 析 信 息 系统 的 风险 ,综合 平衡 风险 
和 代价 的 过 程 就 是 信息 系统 安全 风险 评估 。 世 界 各 国信 息 化 的 经 验 表明 : 

”不 计 代 价 ,片面 地 追求 系统 安全 是 不 切实 际 的 。 

”不 考虑 风险 存在 的 信息 系统 是 危险 的 ,是 要 付出 代价 ,甚至 是 灾难 性 代价 的 。 

。 所 有 的 信息 系统 建设 的 生命 周期 都 应 当 从 安全 风险 评估 开始 。 


2. 信息 系统 安全 风险 评估 的 目的 


通过 信息 系统 安全 风险 评估 ,组 织 可 以 达到 如 下 目的 : 

(1) 了 解 组 织 的 信息 系统 的 管理 和 安全 现状 。 

(2) 确定 资产 威胁 源 的 分 布 ,如 入 侵 者 、 内 部 人 员 、 自 然 灾害 等 ;确定 其 实施 的 可 能 性 ; 
分 析 威 胁 发 生 后 资产 的 价值 损失 、 敏 感性 和 严重 性 ,确定 相应 级 别 ;确定 最 敏感 .最 重要 资产 
在 威胁 发 生 后 的 损失 。 

(3) 了 解 系统 的 脆弱 性 分 布 。 

(4) 明晰 组 织 的 安全 需求 ,指导 建立 安全 管理 框架 ,合理 规划 安全 建设 计划 。 


3. 信息 系统 安全 风险 评估 时 机 


信息 系统 安全 风险 评估 是 信息 系统 每 个 生命 周期 的 起 点 和 动因 。 具 体 地 说 ,应 当 在 下 
面 的 一 些 时 机 进行 : 

(1) 要 设计 规划 或 升级 到 新 的 信息 系统 时 。 

(2) 给 目前 的 信息 系统 增加 新 的 应 用 或 新 的 扩充 (包括 进行 互联 ) 时 。 


(3) 发 生 一 次 安全 事件 后 。 
(4) 组 织 具 有 结构 性 变动 时 。 
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(5) 按照 规定 或 某 些 特殊 要 求 对 信息 系统 的 安全 进行 评估 时 。 
5.4.2 信息 系统 安全 风险 评估 的 准则 与 模式 
1. 信息 系统 安全 风险 评估 准则 


在 信息 系统 安全 风险 评估 中 ,应 当 遵 循 如 下 一 些 原则 : 

(1) 规范 性 原则 。 具 有 3 层 含义 : 

。 评估 方案 和 实施 ,要 根据 有 关 标 准 进行 。 

。 选择 的 评估 部 门 ,需要 被 国家 认可 ,并 具有 一 定 等 级 的 资质 。 
。 评估 过 程 和 文档 要 规范 。 

(2) 整体 性 原则 。 评 估 要 从 业务 的 整体 需求 出 发 ,不 能 局 限于 某 些 局 部 。 
(3) 最 小 影响 原则 。 包 含 如 下 意义 : 

。 评估 要 有 充分 的 计划 性 ,不 对 系统 运行 产生 显著 影响 。 

。 所 使 用 的 评估 工具 要 经 过 多 次 使 用 考验 ,具有 很 好 的 可 控 性 。 
(4) 保密 性 原则 。 包 含 如 下 方面 : 

。 对 评估 数据 严格 保密 。 

。 不 得 泄露 参评 人 员 资 料 。 

。 不 得 使 用 评估 数据 对 被 评 方 造成 利益 损失 。 


2. 信息 系统 安全 风险 评估 参考 标准 


进行 信息 系统 安全 风险 评估 时 可 以 参照 的 标准 如 下 : 

。 ASNZS 4306:1999( 风 险 管 理 指 南 ) : 澳大利亚 和 新 西 兰 关 于 风险 管理 的 标准 。 

。 NIST SP 800-30: 美国 国家 标准 和 技术 研究 院 (NIST) 开 发 的 信息 系统 风险 管理 
指南 。 

。 NIST SP 800-26: NIST 开发 的 信息 系统 安全 自我 评估 指南 。 

。 ISO 17799: 英国 标准 协会 (British Standard Institute ,BSI) 开 发 ,后 成 为 信息 安全 管 
理 体系 的 国际 标准 。 

。 BS 7799-2: BSI 开发 的 信息 安全 管理 标准 。 

。 OCTAVE(Operationally Critical Threat, Asset,and Vulnerability Evaluation): 美 
国 卡 内 基 * 梅 隆 大 学 软件 工程 学 院 开发 的 一 种 风险 评估 方法 。 

。 BS 15000(ITIL): 信息 系统 服务 管理 标准 。 

。 ISO 13335: 信息 技术 安全 管理 指南 。 

。 G51: 安全 风险 评估 及 审计 指南 。 

。 ISO 15408/CC。 

。 GB/T 18336: 中 国 国 家 标准 《信息 技术 安全 技术 、 信 息 技 术 安 全 性 评估 准则 》。 

。 GB 17859 一 1999: 中 国 国 家 标准 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 


3. 信息 系统 安全 风险 评估 模式 


安全 风险 评估 模式 是 进行 安全 风险 评估 时 应 当 遵循 的 操作 过 程 和 方式 。 每 个 组 织 应 当 
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根据 自己 的 信息 系统 的 环境 选择 适当 的 评估 模式 。 下面 是 几 种 常用 的 风险 评估 模式 。 
1) 基线 评估 (baseline risk assessment) 


安全 基线 评估 就 是 按照 标准 或 惯例 进行 评估 。 例 如 按照 下 列 标准 规范 或 者 惯例 : 

。 国际 标准 和 国家 标准 ,例如 BS 7799-1、GB/T 18336 一 2001 等 。 

。 行业 标准 或 推荐 ,例如 德国 联邦 安全 局 IT 基线 保护 手册 等 。 

。 其 他 具有 类 似 商业 目标 和 规模 的 组 织 的 惯例 。 

采用 基线 安全 风险 评估 ,组 织 应 当 根 据 行业 性 质 、 业 务 环境 等 实际 情况 ,用 安全 极限 的 
规定 对 自己 的 信息 系统 的 安全 措施 进行 检查 , 找 出 差距 ,得 到 基本 的 安全 需求 。 

安全 基线 规定 适合 于 特定 环境 下 的 所 有 系统 。 采 用 基线 安全 风险 评估 ,可 以 满足 基本 
的 安全 需求 ,使 系统 达到 一 定 强 度 的 安全 防护 水 平 。 这 种 评估 模式 需要 的 资源 少 , 评 估 周 期 
短 ,操作 简单 ,是 最 经 济 有 效 的 风险 评估 模式 。 但 是 ,基线 水 平 的 确定 较 困 难 。 

2) 详细 评估 

详细 评估 就 是 对 信息 系统 中 的 所 有 资源 都 进行 仔细 的 评估 。 例 如 ,可 以 划分 成 如 下 方 
面 进行 安全 风险 评估 : 

。 网 络 安全 风险 评估 ,可 以 按照 了 解 拓扑 结构 一 获取 公共 访问 机 器 名 字 和 地 址 一 进行 

端口 扫描 的 顺序 进行 。 
。 平台 安全 风险 评估 ,包括 认证 基准 配置 .操作 系统 .网 络 服务 有 无 改变 ,认证 管理 员 
口令 并 测试 口令 的 强度 ,跟踪 审计 子 系统 ,评估 数据 库 等 。 

。 应 用 安全 评估 。 

详细 评估 包括 了 资产 的 鉴定 和 评估 ,资产 面临 威胁 的 评估 以 及 安全 薄弱 环节 的 分 析 ,并 
在 这 些 评估 分 析 的 基础 上 进行 最 后 的 风险 评估 分 析 , 最 后 制定 出 合适 的 安全 策略 。 它 体现 
了 风险 管理 的 思想 ,能 识别 资产 的 风险 并 将 风险 降低 到 可 以 接受 的 水 平 。 但 是 ,这 种 模式 需 
要 相当 多 的 财力 、 物 力 、 时 间 、 精 力 和 专业 能 力 的 投入 ,最 后 获得 的 结果 可 能 有 一 定 的 时 间 
潍 后 。 

3) 组 合 评估 

组 合 评估 是 上 述 两 种 模式 的 结合 。 它 首先 对 所 有 信息 系统 进行 一 次 较 高 级 别 的 安全 分 
析 ,并 关注 每 一 个 实际 分 析 对 整个 业务 的 价值 以 及 它 所 面临 的 风险 的 程度 。 然 后 对 鉴定 为 
对 业务 非常 重要 或 面临 严重 风险 的 部 分 ,进行 详细 评估 分 析 , 对 其 他 部 分 进行 极限 评估 分 
析 。 这 种 方法 注意 了 耗费 与 效率 之 间 的 平衡 ,还 注意 了 高 风险 系统 的 安全 防范 。 


5.4.3 信息 系统 安全 风险 评估 过 程 


信息 系统 安全 风险 评估 是 确定 信息 系统 安全 需求 的 过 程 , 它 包 括 图 5.4 所 示 的 几 个 
阶段 。 
下 面 对 信息 系统 安全 风险 评估 的 各 个 阶段 的 工作 作 进 一 步 说 明 。 


1. 制订 项 目 计 划 


评估 工作 从 制订 项 目 计 划 开 始 。 项目 计划 应 当 包 括 如 下 一 些 内 容 : 
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制订 计划 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 


1 1 

1 1 | 确定 资产 | [脆弱 性 分 析 |] | 威胁 分 析 | | 

[评估 准备 1 et | 

上 | 现 有 安全 控制 分 析 | 
7 | 

风险 分 析 We ! 

! [可 能 性 分 析 影响 分 析 | | 

形成 评估 报告 | 和 9 | 

! 确定 安全 风险 | 

项 目 跟踪 | er 


图 5.4 信息 系统 安全 风险 评估 过 程 


(1) 评估 目标 。 进 行 安全 风险 评估 的 目的 和 期 望 。 

(2) 项 目 范围 和 边界 。 例 如 通过 定义 系统 的 连接 和 接口 。 

(3) 约束 条 件 。 包 括 时 间 ( 是 否 要 在 非 繁忙 办 公 时 间 , 甚 至 非 工 作 时 间 进 行 )、 财 务 预 
算 、 技 术 因 素 等 。 这 些 约束 可 能 影响 项 目 进度 和 评估 的 可 用 资源 。 

(4) 建立 资产 价值 (重要 性 或 敏感 度 ) 评 估 标 准 。 

(5) 风险 接受 标准 。 明 确 组 织 可 以 接受 的 风险 的 水 平 或 等 级 。 

(6) 确定 风险 评估 的 模式 。 

(7) 项 目 进度 安排 。 用 来 控制 进度 ,监督 项 目 过程 。 


2. 评估 准备 


制订 风险 评估 计划 之 后 , 便 要 为 实施 风险 评估 做 准备 工作 。 准 备 工 作 包 括 以 下 几 个 
方面 。 
(1) 成 立 一 个 专门 的 风险 评估 小 组 ,成 员 包 括 : 
。 具有 风险 评估 经 验 者 
。 熟悉 组 织 运作 者 ; 
。 管理 层 、 业 务 部 门 的 成 员 ; 
。IT 系统 代表 ; 
。 用户 代表 ; 
” 外 部 风险 评估 专家 ; 
”组 织 的 信息 安全 官员 和 安全 管理 人 员 
。 组织 的 高 层 管理 人 员 。 
同时 要 进行 分 工 , 明 确 责任 。 
(2) 收集 资料 ,围绕 项 目的 范围 ,收集 相关 资料 。 收 集 方法 包括 : 
。 问卷 调查 。 
”对 各 级 人 员 进 行 访谈 。 
。 小 组 讨论 。 
。 查阅 文档 (政策 法 规 . 设 计 资 料 .操作 指南 .审计 记录 、 安 全 策略 .应急 预案 .以 前 的 评 
估 结 果 等 )。 
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。 现场 勘察 : 观察 各 类 人 员 的 行为 、 环 境 状况 和 操作 情形 ,寻找 不 良 行为 (如 违反 安全 
策略 的 现象 ) 。 
(3) 材料 准备 。 为 风险 评估 过 程 设 计 拟定 标准 化 的 表格 .模板 和 问卷 等 。 


3. 确定 资产 


通常 用 资产 估计 来 确定 需要 保护 的 系统 的 价值 。 对 于 信息 系统 来 说 ,可 以 用 “信息 资 
产 ” 来 描述 信息 化 的 成 果 。 通 常 信息 资 产 可 以 认为 由 组 织 的 5 种 资产 组 成 。 

(1) 物理 资产 。 构 成 信息 系统 的 一 切 具 有 物理 形态 的 资产 都 称 为 物理 资产 ,包括 通信 
线路 .通信 设备 .工作站 、 服 务 器 终端 和 存储 设备 等 。 

(2) 信息 资产 。 信 息 资 产 是 相对 于 物理 资产 而 言 的 资产 ,是 具有 信息 属性 的 资产 ,包括 
软件 以 及 各 种 信息 资源 (财务 信息 、 人 事 信息 、 业 务 信 息 、 计 划 信 息 、 设 计 信 息 以 及 系统 记录 
的 其 他 信息 等 )。 它 们 也 常 被 看 作 是 知识 资产 。 

(3) 时 间 资 产 。 时 间 也 是 一 种 宝贵 的 资产 。 

rd 人 力 资源 是 组 织 最 灵活 、 最 主动 的 资源 。 

(5) 信誉 (形象 ) 资 产 。 信 誉 是 组 织 宝贵 的 无 形 资产 。 信 誉 受到 损失 ,组 织 的 形象 和 可 
信 度 将 会 不 佳 ,愿意 与 之 打交道 者 会 减少 。 
资产 的 形式 包括 以 下 几 种 : 
。 各 种 文档 。 包 括 数据 库 和 数据 文件 .系统 文件 ,用户 手 册 、 培 训 资 料 . 支 持 程序 和 应 
急 计 划 等 。 

。 纸 质 文件 。 包 括 合同 .策略 方针 、 企 业 文件 和 重要 商业 结果 等 。 

。 软件 。 应 用 软件 .系统 软件 .开发 工具 和 公用 程序 等 。 

。 物理 资产 。 

资产 的 确定 应 当 从 关键 业务 开始 ,最 盖 所 有 关键 资产 。 在 实际 操作 时 ,可 以 根据 关 
键 业务 流程 确定 资产 清单 。 

得 到 完整 的 资产 清单 后 ,要 进一步 确定 每 项 资产 的 价值 。 资 产 的 价值 用 资产 对 于 组 织 
的 重要 性 或 敏感 度 衡量 。 为 了 保证 资产 评估 的 一 致 性 和 准确 性 ,组 织 应 当 建 立 一 个 资产 评 
佑 标准 ,对 资产 进行 等 级 划分 。 表 5. 4 为 一 个 资产 敏感 度 等 级 划分 标准 范例 。 


表 5.4 一 个 资产 敏感 度 等 级 划分 标准 范例 


等 级 名 称 描 述 
5 巨 造成 灾难 性 损失 ,导致 组 织 停顿 ,决策 层 免职 
这 六 造成 重大 经 济 损失 ,造成 产品 和 服务 大 幅度 缩减 :形象 受 损 , 士 气 低落 
3 省 对 组 织造 成 引起 重视 的 损失 ,市 场 有 一 定 程度 的 反映 ,士气 受到 影响 
2 小 对 部 分 产品 或 服务 出 现 影响 .受到 外 部 批评 
1 微 出 现 影响 ,基本 不 产生 负面 效应 
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4. 脆弱 性 (漏洞 ?分 析 

1) 脆弱 性 分 类 

(1) 技术 性 脆弱 性 : 系统 软 硬 件 中 存在 的 漏洞 或 缺陷 。 

(2) 操作 性 脆弱 性 : 系统 在 配置 .操作 使 用 中 的 缺陷 ,包括 操作 人 员 的 不 良 习 惯 .缺乏 
审计 或 备份 等 。 

(3) 管理 性 脆弱 性 : 组 织 结构 、 人 员 意 识 .规章 制度 和 策略 计划 等 方面 的 不 足 。 

2) 脆弱 性 分 析 手 段 

(1) 技术 性 脆弱 性 分 析 手 段 

。 采用 工具 进行 网 络 扫描 。 

。 主机 审计 。 采 用 脚本 工具 或 人 工 方式 ,对 网 络 设备 .主机 和 数据 库 进 行列 目 式 排查 。 

。 渗透 测试 。 人 工 模拟 黑客 攻击 ,进行 排查 。 

。 系统 分 析 。 进 行 网 络 结构 和 边界 分 析 。 

(2) 非 技术 性 脆弱 性 分 析 主 要 采用 调查 表 .查看 文件 .访谈 和 现场 勘察 手段 进行 。 


5. 威胁 分 析 
威胁 是 对 系统 或 资产 的 保密 性 、 完 整 性 以 及 可 用 性 构成 潜在 损害 的 事件 。 威 胁 分 析 的 
目的 是 在 明晰 关键 资产 安全 需求 的 基础 上 ,确定 面临 的 威胁 ,并 界定 发 生 威胁 的 可 能 性 以 及 
对 系统 或 资产 的 破坏 性 潜力 。 
1) 威胁 源 分 类 
为 了 描述 方便 ,对 威胁 源 要 进行 分 类 。 表 5. 5 为 一 个 威胁 源 分 类 范例 。 
表 5.5 一 个 威胁 源 分 类 范例 


编号 名 称 描 述 
1 不 可 抗 不 可 抗拒 的 自然 灾害 (地 震 、. 飓 风 等 ) .环境 (电力 中 断 .污染 等 ) .政治 .战争 等 
区 组 织 薄弱 | 因 组 织 、 体 制 或 制度 缺陷 造成 的 安全 威胁 
3 人 为 失误 | 因 人 的 素质 、 技 能 等 形成 的 安全 威胁 
4 技术 缺陷 | 因 技 术 缺 陷 形 成 的 安全 威胁 
5 恶意 行为 | 人 为 的 侵害 行为 


2) 威胁 确定 途径 
威胁 确定 可 以 通过 下 列 途 径 进 行 : 
。 查看 安全 策略 文档 。 
。 业务 流程 分 析 。 
。 网 络 拓扑 分 析 。 
。 人 员 访 谈 。 
。 入 侵 检测 系统 收集 信息 分 析 。 
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6. 现 有 安全 控制 分 析 


对 于 现 有 (在 规划 中 的 或 已 经 实现 的 ) 安 全 控制 措施 进行 分 析 的 目的 ,是 分 析 通 过 这 些 
控制 减少 或 消除 一 个 威胁 源 利用 系统 脆弱 性 的 可 能 性 。 

1) 安全 控制 措施 的 类 型 

安全 控制 措施 按照 性 质 分 为 以 下 几 种 : 

。 管理 性 (administrative)。 包 括 安全 策略 .程序 管理 .风险 管理 .安全 保障 和 系统 生命 
周期 管理 等 。 

。 操作 性 (operational)。 包 括 人 员 职 责 、 应 急 响 应 、 事 件 处 理 、 意 识 教 育 、 系 统 支 持 和 
操作 、 物 理 和 环境 安全 等 。 

。 技术 性 (technical)。 加 密 、 认 证 ,访问 控制 和 审计 等 。 

安全 控制 措施 按照 功能 分 为 以 下 几 种 : 

。 预防 性 (preventive) 。 阻 止 对 安全 策略 的 犯罪 ,包括 访问 控制 .加 密 和 认证 等 。 

。 检测 性 (detective)。 检 测 并 及 时 发 现 对 安全 策略 的 违犯 或 企图 ,并 发 出 警告 ,具有 
一 定 威慑 性 (deterrent) ,如 入 侵 检测 .审计 跟踪 、 校 验 和 、 蜜 饶 技 术 等 。 

2) 安全 控制 措施 分 析 方 法 

设计 一 个 安全 要 求 核 对 表 , 系 统 化 地 进行 有 效 分 析 , 验 证 安全 是 否 与 既定 法 规 和 政策 一 致 。 

3) 结果 

输出 信息 系统 已 经 实现 或 计划 实现 的 安全 控制 措施 清单 。 


7. 可 能 性 及 影响 分 析 


可 能 性 (likelihood) 和 影响 Cimpact) 是 威胁 的 两 个 属性 。 也 是 评估 风险 的 两 个 关键 因 
素 。 可 能 性 指 威胁 发 生 的 几率 ,影响 指 用 于 确定 风险 发 生 威 胁 对 系统 资产 破坏 或 影响 的 
程度 。 

1) 可 能 性 分 析 

可 能 性 分 析 是 对 威胁 发 生 的 概率 的 估计 ,要 结合 威胁 源 的 动机 和 人 能力、 脆弱 性 的 性 质 、 
安全 控制 措施 的 存在 与 有 效 性 进行 综合 评估 。 通 常 采用 经 验 分 析 或 定性 分 析 的 方法 确定 。 
为 便于 分 析 ,应 当 制 定 一 个 威胁 的 可 能 性 等 级 标准 。 表 5.6 为 一 个 威胁 的 可 能 性 等 级 范例 。 

2) 影响 分 析 

影响 分 析 已 经 在 确定 资产 阶段 用 资产 的 敏感 性 进行 了 描述 。 需 要 说 明 的 是 ,影响 分 析 
可 以 用 定性 和 定量 两 种 方法 进行 。 

定性 影响 分 析 只 用 级 别 描述 威胁 的 影响 ,这 样 可 以 对 风险 进行 排序 ,并 能 够 立即 对 那些 
需要 改善 的 环节 进行 标识 。 定 量 分 析 可 以 计算 影响 的 大 小 ,以 便 用 成 本 效益 分 析 进 行 成 本 
控制 。 
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表 5.6 一 个 威胁 的 可 能 性 等 级 范例 


名 称 等 级 权 台 


A 频繁 大 多 数 情况 下 会 发 生 
B 经 党 多 数 情况 下 很 可 能 发 生 
c 有 时 | 0.5 有 时 会 发 生 

写 很 少 有 时 可 能 发 生 


个 别 特殊 情况 下 发 生 


8. 确定 安全 风险 

确定 安全 风险 的 目的 是 评估 信息 系统 的 安全 风险 级 别 。 

1) 风险 级 别 和 措施 

信息 系统 风险 级 别 最 多 划分 为 4 级 ,并 可 以 用 颜色 表示 ,如 表 5.7 所 示 。 


表 5.7 信息 系统 风险 级 别 和 行动 措施 


建议 的 行动 措施 


级 别 符号 /颜色 
FE/ 红色 
H/ 检 色 


极度 风险 ”| 立即 采取 措施 :避免 转移 ? 降低 ? 
需要 尽快 部 署 行动 :避免 转移 ?降低 ? 


中 风险 必须 在 一 个 合理 的 时 间 段 内 制订 一 个 计划 实施 行动 :避免 ? 接受 ? 
转移 ? 降低 ? 


按 常 规 处 理 : 避 免 ? 接受 ? 转移 ? 降低 ? 


M/ 黄 色 


L/ 绿 色 


低 风 险 


2) 风险 级 别 和 矩阵 
将 风险 的 可 能 性 (概率 ) 与 威胁 的 级 别 相 乘 ,可 以 得 到 最 终 使 命 风 险 ,从 而 可 以 得 到 风险 
矩阵 。 表 5. 8 为 一 个 计算 范例 。 


表 5.8 一 个 风险 矩阵 计算 范例 


影响 微 中 类 巨 

可 能 性 1 3 4 5 
A(l.0) Ei0 1 4.0 Se 
BC0.7) 057 全 | 2.8 3.5 
CC0.5) 0.5 1.5 2..0 2.5 
D(C0. 3) (Re 0.9 要: 1.5 
RO: 1 0.1 0.3 0.4 0.5 


3) 确定 风险 尺度 
例如 ,对 风险 级 别 作 如 下 定义 : 正 为 4.5 一 5.0,H 为 3.5 一 4.5,M 为 1.0 一 3.5,L 为 
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人 
按照 风险 级 别 的 上 述 定 义 , 将 风险 级 别 符 号 标 进 风 险 和 矩阵 ,得 到 的 结果 如 表 5. 9 所 示 。 
表 5.9 一 个 风险 矩阵 结果 


影响 微 志 巨 

可 能 性 1 4 5 
A(l.0) M(1.0) H(4.0) EC5. 0) 
B(0.7) C0 7 M(2. 8) H(3.5) 
C00.5) L(0.5) M(2.0) M(2.5) 
D(0. 3) CO: 3 M(1.2) M(1.5) 
E(0.1) LO 1 L(0:4) L(0.5) 


9. 形成 评估 报告 


风险 评估 报告 内 容 一 般 包 括 以 下 几 部 分 : 

(1) 概述 : 评估 目的 方法 和 过 程 等 。 

(2) 评估 结果 : 包括 资产 .威胁 .脆弱 性 、 现 有 安全 控制 措施 等 级 和 风险 评估 等 。 

(3) 安全 控制 建议 和 备 选 解决 方案 。 

前 两 项 的 内 容 已 经 介绍 过 了 ,在 对 安全 控制 建议 和 备 选 解 决 方案 提出 建议 时 应 当 考 虑 
的 内 容 如 下 : 

。 建议 的 选项 在 兼容 性 等 方面 的 有 效 性 。 

。 与 法 律 法 规 的 符合 性 。 

。 组 织 及 策略 方面 的 可 接受 性 。 

。 对 运行 的 影响 。 

。 安全 性 和 可 靠 性 。 


5.4.4 信息 系统 渗透 测试 


一 般 说 来 ,渗透 测试 (penetration test) 是 一 种 通过 模拟 恶意 攻击 者 的 技术 与 方法 ,挫败 
目标 系统 的 安全 控制 措施 ,取得 访问 控制 权 , 并 发 现 具 备 业 务 影响 后 果 安 全 隐患 的 一 种 安全 
测试 与 评估 方式 。 这 种 方法 源 于 军事 演习 ,20 世纪 90 年 代 时 ,由 美国 军 方 与 国家 安全 局 引 
入 到 对 信息 网 络 与 信息 安全 基础 设施 的 实际 攻防 测试 过 程 中 。 

实施 渗透 测试 一 般 需 要 对 目标 系统 进行 主动 探测 分 析 ,以 发 现 潜在 的 系统 漏洞 ,包括 不 
恰当 的 系统 配置 .已 知 或 未 知 的 软 硬 件 漏洞 以 及 在 安全 计划 与 响应 过 程 中 的 操作 性 弱点 等 。 


1. 渗透 测试 方法 
1) 黑箱 测试 


黑箱 测试 (black-box testing) 又 被 称 为 zero-knowledge testing。 采 用 这 种 方式 时 ,渗透 
测试 团队 将 从 一 个 远程 网 络 位 置 来 评估 目标 网 络 基础 设施 :并 没有 任何 目标 网 络 内 部 拓扑 
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等 相关 信息 ,完全 处 于 对 系统 一 无 所 知 的 状态 。 他 们 完全 模拟 真实 网 络 环境 中 的 外 部 攻击 
者 ,采用 流行 的 攻击 技术 与 工具 ,有 组 织 有 步骤 地 对 目标 组 织 进行 逐步 的 渗透 与 人 侵 ,揭示 
目标 网 络 中 一 些 已 知 或 未 知 的 安全 漏洞 ,并 评估 这 些 漏洞 能 否 被 用 来 获取 控制 权 或 造成 业 
务 资产 的 损失 。 所 以 这 种 测试 方法 又 称 外 部 测试 (external testing)。 

黑 盒 测 试 还 可 以 对 目标 组 织 内 部 安全 团队 的 检测 与 响应 能 力 做 出 评估 。 在 测试 结束 之 
后 , 黑 盒 测试 会 对 发 现 的 目标 系统 安全 漏洞 .所 识别 的 安全 风险 及 其 业务 影响 评估 等 信息 进 
行 总 结 和 报告 。 

2) 白 盒 测试 

白 盒 测试 Cwhite-box testing) 也 称 为 内 部 测试 Cinternal testing) 。 进 行 白 盒 测 试 需要 事 
先 了 解 关于 目标 环境 的 所 有 内 部 与 底层 状况 ,因此 可 以 让 渗透 测试 者 以 最 小 的 代价 发 现 和 
验证 系统 中 最 严重 的 安全 漏洞 。 如 果实 施 到 位 ,和 白 盒 测试 能 够 比 黑 盒 测 试 消除 更 多 的 目标 
基础 设施 环境 中 的 安全 漏洞 与 弱点 ,从 而 给 客户 组 织带 来 更 大 的 价值 。 这 类 测试 通常 用 于 
模拟 企业 内 部 雇员 的 越权 操作 。 


3) 灰 盒 测试 

灰 盒 测试 (grey-box testing) 是 对 黑 盒 测 试 和 白 盒 测试 两 种 基本 类 型 的 组 合 。 采 用 灰 盒 
测试 可 以 提供 对 目标 系统 更 加 深入 和 全 面 的 安全 审查 ,能够 同时 发 挥 两 种 基本 类 型 渗透 测 
试 方法 的 各 自 优 势 。 这 种 测试 也 称 隐秘 测试 ,是 被 测 单位 仅 有 极 少数 人 知晓 测试 存在 的 方 
法 ,因此 能 够 有 效 地 检验 单位 中 的 信息 安全 事件 监控 响应 .恢复 做 得 是 否 到 位 。 

2. 渗透 目标 

1) 主机 操作 系统 渗透 

对 Windows、Linux 等 操作 系统 本 身 进行 渗透 测试 。 

2) 数据 库 系 统 渗 透 

对 MS-SQL、Oracle、MySQL 等 数据 库 应 用 系统 进行 渗透 测试 。 

) 应 用 系统 渗透 

对 渗透 目标 提供 的 各 种 应 用 ,如 ASP、JSP、PHP 等 组 成 的 WWW 应 用 进行 渗透 测试 。 

4) 网 络 设 备 渗 透 

对 各 种 防火 墙 、 入 侵 检测 系统 、 网 络 设 备 进行 渗透 测试 。 

5) 不 同 网 段 /VLAN 之 间 的 渗透 

这 种 渗透 方式 是 从 某 内 /外 部 网 段 , 尝 试 对 另 一 网 段 /VLAN 进行 渗透 。 这 类 测试 通常 
可 能 用 到 的 技术 包括 对 网 络 设 备 的 远程 攻击 、 对 防火 墙 的 远程 攻击 或 规则 探测 以 及 规避 
尝试 。 

3. 渗透 测试 手段 

1) 内 网 测试 

内 网 测试 指 的 是 渗透 测试 人 员 由 内 部 网 络 发 起 测试 ,这 类 测试 能 够 模拟 企业 内 部 违规 
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操作 者 的 行为 。 最 主要 的 “优势 ”是 绕 过 了 防火 墙 的 保护 。 内 部 主要 可 能 采用 的 渗透 方式 包 
括 远程 缓冲 区 溢出 .口令 猜测 以 及 B/S 或 C/S 应 用 程序 测试 (如 果 涉 及 C/S 程序 测试 ,需要 
提前 准备 相关 客户 端 软件 供 测 试 使 用 )。 

2) 外 网 测试 

外 网 测试 指 的 是 渗透 测试 人 员 完 全 处 于 外 部 网 络 ( 例 如 拨号 .ADSL 或 外 部 光纤 ) ,模拟 
对 内 部 状态 一 无 所 知 的 外 部 攻击 者 的 行为 。 包 括 对 网 络 设备 的 远程 攻击 ,口令 管理 安全 性 
测试 ,防火 墙 规则 试探 和 规避 ,Web 及 其 他 开放 应 用 服务 的 安全 性 测试 。 

3) 端口 扫描 

通过 对 目的 地 址 的 TCP/UDP 端口 扫描 ,确定 其 所 开放 的 服务 的 数量 和 类 型 ,这 是 所 
有 渗透 测试 的 基础 。 通 过 端口 扫描 ,可 以 基本 确定 一 个 系统 的 基本 信息 ,结合 安全 工程 师 的 
经 验 可 以 确定 其 可 能 存在 以 及 被 利用 的 安全 弱点 ,为 进行 深层 次 的 渗透 提供 依据 。 

4) 远程 溢出 

这 是 当前 出 现 的 频率 最 高 .威胁 最 严重 ,同时 又 是 最 容易 实现 的 一 种 渗透 方法 ,一 个 具 
有 一 般 网 络 知识 的 入 侵 者 就 可 以 在 很 短 的 时 间 内 利用 现成 的 工具 实现 远程 游 出 攻击 。 

对 于 防火 墙 内 的 系统 同样 存在 这 样 的 风险 ,只 要 对 跨 接 防火 墙 内 外 的 一 台 主 机 攻击 成 
功 ,那么 通过 这 人 台 主 机 对 防火 墙 内 的 主机 进行 攻击 就 易如反掌 。 

5) 本 地 洲 出 

所 谓 本 地 溢出 是 指 在 拥有 了 一 个 普通 用 户 的 账号 之 后 ,通过 一 段 特殊 的 指令 代码 获得 
管理 员 权 限 的 方法 。 使 用 本 地 溢出 的 前 提 是 首先 要 获得 一 个 普通 用 户 密码 。 也 就 是 说 , 导 
致 本 地 溢出 的 一 个 关键 条 件 是 设置 不 当 的 密码 策略 。 

多 年 的 实践 证 明 ,在 经 过 前 期 的 口令 猜测 阶段 获取 的 普通 账号 登录 系统 之 后 ,对 系统 实 
施 本 地 溢出 攻击 ,就 能 获取 不 进行 主动 安全 防御 的 系统 的 控制 管理 权限 。 

6) 口令 猜测 

口令 猜测 也 是 一 种 出 现 概 率 很 高 的 风险 ,几乎 不 需要 任何 攻击 工具 ,利用 一 个 简单 的 暴 
力 攻击 程序 和 一 个 比较 完善 的 字典 就 可 以 猜测 口令 。 

对 一 个 系统 账号 的 猜测 通常 包括 两 个 方面 : 首先 是 对 用 户 名 的 猜测 ,其 次 是 对 密码 的 
猜测 。 

7) 脚本 及 应 用 测试 

Web 脚本 及 应 用 测试 专门 针对 Web 及 数据 库 服 务 器 进行 。 根 据 最 新 的 技术 统计 , 脚 
本 安全 弱点 为 当前 Web 系统 ,尤其 是 存在 动态 内 容 的 Web 系统 比较 严重 的 安全 弱点 之 一 。 
利用 脚本 相关 弱点 轻 则 可 以 获取 系统 其 他 目录 的 访问 权限 , 重 则 将 有 可 能 取得 系统 的 控制 
权限 。 因 此 对 于 含有 动态 页 面 的 Web、 数 据 库 等 系统 ,Web 脚本 及 应 用 测试 将 是 必 不 可 少 
的 一 个 环节 。 在 Web 脚本 及 应 用 测试 中 ,可 能 需要 检查 的 部 分 包括 : 

。 检查 应 用 系统 架构 ,防止 用 户 绕 过 系统 直接 修改 数据 库 。 

。 检查 身份 认证 模块 ,防止 非法 用 户 绕 过 身份 认证 。 
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。 检查 数据 库 接 口 模块 ,防止 用 户 获 取 系 统 权 限 。 

。 检查 文件 接口 模块 ,防止 用 户 获 取 系 统 文件 。 

。 检查 其 他 安全 威胁 。 

8) 无 线 网 络 测试 

通过 对 无 线 网 络 的 测试 ,可 以 判断 企业 局 域 网 的 安全 性 ,已 经 成 为 越 来 越 重要 的 渗透 测 
试 环节 。 

除了 人 上述 的 测试 手段 外 ,还 有 一 些 可 能 会 在 渗透 测试 过 程 中 使 用 的 技术 ,包括 社交 工程 
学 .拒绝 服务 攻击 以 及 中 间 人 攻击 。 


4. 渗透 测试 流程 


渗透 测试 一 般 包括 如 下 7 个 阶段 。 

1) 前 期 交互 阶段 

在 前 期 交互 (pre-engagement interaction ) 阶段, 渗透 测试 团队 要 与 客户 组 织 进行 交互 
讨论 ,收集 客户 需求 ,准备 测试 计划 ,定义 测试 范围 .边界 和 限制 条 件 , 定 义 业 务 目标 、 项 目 管 
理 与 规划 ,讨论 服务 合同 细节 等 。 

2) 情报 搜集 阶段 

情报 搜集 (information gathering) 是 在 目标 范围 确定 之 后 ,进行 尝试 获取 更 多 关于 目标 
组 织 网 络 拓扑 、 系 统 配 置 与 安全 防御 措施 信息 的 活动 。 

对 目标 系统 的 情报 探查 能 力 是 渗透 测试 者 的 一 项 非常 重要 的 技能 ,情报 搜集 是 否 充分 
在 很 大 程度 上 决定 了 渗透 测试 的 成 败 。 所 以 在 这 个 阶段 ,渗透 测试 团队 要 尽力 利用 各 种 信 
息 来 源 与 搜集 技术 方法 ,包括 公开 来 源 信息 查询 .Google Hacking、 社 会 工程 学 、 网 络 踩点 、 
扫描 探测 、 被 动 监听 和 服务 查 点 等 。 

3) 威胁 建 模 阶段 

在 搜集 到 充分 的 情报 信息 后 ,渗透 测试 团队 将 集思广益 ,通过 续 密 的 情报 分 析 , 进 入 威 
胁 建 模 (threat modeling)、 制定 攻击 规划 阶段 。 

4) 漏洞 分 析 阶 段 

漏洞 分 析 (Cvulnerability analysis) 阶段 的 工作 是 在 确定 出 最 可 行 的 攻击 通道 之 后 ,在 前 
几 个 阶段 获取 的 情报 信息 ,特别 是 安全 漏洞 扫描 结果 、 服 务 查 点 信息 等 基础 上 ,通过 搜索 
可 获取 的 渗透 代码 资源 , 找 出 可 以 实施 渗透 攻击 的 攻击 点 ,并 在 实验 环境 中 进行 攻击 模 
拟 。 高 水 平 的 渗透 测试 团队 还 会 针对 攻击 通道 上 的 一 些 关键 系统 与 服务 进一步 进行 安 
全 漏洞 探测 与 挖掘 , 找 出 可 被 利用 的 未 知 安全 漏洞 ,并 开发 出 渗透 代码 ,打开 攻击 通道 上 
的 关键 路 径 。 

在 这 个 环节 中 ,需要 渗透 测试 团队 根据 目标 组 织 的 业务 经 营 模 式 、 保 护 资 产 形式 与 
安全 防御 计划 的 不 同 特点 ,自主 设计 出 攻击 目标 ,识别 关键 基础 设施 ,并 寻找 客户 组 织 最 
具 价 值 和 尝试 安全 保护 的 信息 和 资产 ,最 终 达 成 能 够 对 客户 组 织造 成 最 重要 业务 影响 的 
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5) 渗透 攻击 阶段 

在 渗透 攻击 Cexploitation) 将 实施 真正 的 入侵, 获得 访问 控制 权 。 

6) 后 渗透 攻击 阶段 

在 后 渗透 攻击 (post exploitation) 阶段 ,渗透 测试 团队 要 根据 测试 目的 .收集 的 信息 和 
测试 结果 ,对 系统 的 安全 状况 进行 科学 的 评价 ,并 评估 自己 的 渗透 攻击 ,查找 不 足 。 若 有 不 
足 或 遗漏 ,应 返回 到 威胁 建 模 阶段 进行 弥补 。 

7) 渗透 测试 报告 撰写 阶段 

渗透 测试 报告 (reporting) 是 提交 给 用 户 的 最 终 成 果 , 内 容 包 括 所 有 阶段 中 渗透 测试 团 
队 所 获取 的 关键 情报 信息 、. 探 测 和 发 掘 出 的 系统 安全 漏洞 .成功 渗透 攻击 的 过 程 , 以 及 造成 
业务 影响 后 果 的 攻击 途径 ,同时 还 要 站 在 防御 者 的 角度 ,帮助 客户 分 析 安 全 防御 体系 中 的 薄 
弱 环 节 以 及 存在 的 问题 ,给 出 系统 加 固 建议 。 

通常 也 把 前 4 个 阶段 称 为 预 攻击 阶段 ,把 第 5 个 阶段 称 为 预 攻击 阶段 ,把 最 后 两 个 阶段 
称 为 后 攻击 阶段 。 


5. 渗透 测试 的 实施 


渗透 测试 是 按照 黑客 攻击 的 思路 进行 的 攻击 性 测试 ,每 个 阶段 .对 于 不 同 的 部 位 的 攻 
击 ,都 可 以 采用 已 有 的 攻击 工具 进行 。 图 5.5 给 出 实施 渗透 测试 所 进行 的 有 关 攻 击 的 目标 
及 其 使 用 的 工具 。 
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言 息 收集 4 traceroute 
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常规 信息 获取 方式 netcraft 
nmap 
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预 攻 击 阶 段 ” Nessus( 动 画展 示 ) 
漏洞 扫描 x-scan( 演 示 ) 
a Google 
搜索 引 掌 Baidu 
社会 工程 学 
总 山区 2 远程 溢出 
缓冲 区 溢出 { 达 地 溢出 
黑客 通常 的 攻击 思路 与 操作 令 猜 
a 攻击 阶段 口令 猜测 | 
SQL 注 入 


应 用 攻击 ja { SemEPR 
实验 (Webgoat) 
特洛伊 木马 
tm 
密码 破解 
图 5.5 实施 渗透 测试 所 进行 的 有 关 攻 击 目 标 及 其 使 用 的 工具 
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5.4.5 信息 系统 安全 审计 
1. 信息 系统 安全 审计 及 其 功能 


审计 (audit) 是 按照 一 定 的 标准 对 于 一 个 过 程 所 进行 的 监督 和 评价 机 制 。 审 计 的 执行 
是 以 确定 有 效 性 和 可 靠 性 的 信息 为 依据 ,以 检查 、 验 证 目标 的 准确 性 和 完整 性 为 目的 。 信 息 
系统 审计 是 一 个 通过 收集 和 评价 审计 证 据 , 对 信息 系统 是 否 能 够 保护 资产 的 安全 维护 数据 
的 完整 .使 被 审计 单位 的 目标 得 以 有 效 地 实现 、 使 组 织 的 资源 得 到 高 效 地 使 用 等 方面 做 出 判 
断 的 过 程 ,其 目标 是 协助 组 织 的 信息 技术 管理 人 员 有 效 地 履行 其 责任 ,以 达成 组 织 的 信息 技 
术 管 理 目 标 。 组 织 的 信息 技术 管理 目标 是 保证 组 织 的 信息 技术 战略 ,充分 反映 组 织 的 业务 战 
略 目 标 , 提 高 组 织 所 依赖 的 信息 系统 的 可 靠 性 、 稳 定性 、 安 全 性 及 数据 处 理 的 完整 性 和 准确 性 ， 
提高 信息 系统 运行 的 效果 与 效率 ,保证 信息 系统 的 运行 符合 法 律 ,法规 及 监管 的 相关 要 求 。 
国际 通用 的 CC 准则 ( 即 ISO/IEC 15408-2:1999《 信 息 技 术 安 全 性 评 佑 准则》) 中 对 信息 
系统 安全 审计 (Information System Security Audit,ISSA) 给 出 了 明确 定义 : 信息 系统 安全 
审计 主要 指 对 与 安全 有 关 的 活动 的 相关 信息 进行 识别 .记录 存储 和 分 析 ; 审 计 记 录 的 结果 
用 于 检查 网 络 上 发 生 了 哪些 与 安全 有 关 的 活动 , 谁 ( 哪 个 用 户 ) 对 这 个 活动 负责 ; 主要 功能 包 
括 安全 审计 自动 响应 、 安 全 审计 数据 生成 ,安全 审计 分 析 、 安 全 审计 浏览 .安全 审计 事件 选择 
和 安全 审计 事件 存储 等 。 
简单 地 说 ,安全 审计 应 当 具 有 下 面 的 功能 : 
(1) 记录 关键 事件 。 关 于 关键 事件 的 界定 由 安全 官员 决定 。 
(2) 对 潜在 的 攻击 者 进行 威慑 或 警告 。 
(3) 为 系统 安全 管理 员 提 供 有 价值 的 系统 使 用 日 志 :, 帮 助 系统 管理 员 及 时 发 现 人 侵 行 
为 和 系统 漏洞 ,使 安全 管理 人 员 可 以 知道 如 何 对 系统 安全 进行 加 强 和 改进 。 
(4) 为 安全 官员 提供 一 组 可 供 分 析 的 管理 数据 ,用 于 发 现 何 处 有 违反 安全 方案 的 事件 ， 
并 可 以 根据 实际 情形 调整 安全 政策 。 
2. 信息 系统 安全 审计 的 基本 内 容 
1) 组 织 控制 审计 
组 织 控制 审计 包括 如 下 内 容 : 
。 了 人 解 被 审计 单位 的 组 织 结构 、 人 员 分 工 、 业 务 授权 和 职责 分 离 等 情况 。 
。 审查 组 织 控制 措施 是 否 健全 .是 否 制 定 了 完善 的 工作 制度 和 岗位 职责 ,是 否 落实 了 
岗位 责任 制 和 风险 防范 责任 ,是 否 建立 了 内 部 监督 机 制 和 考核 机 制 等 。 
2) 安全 控制 审计 
安全 控制 审计 包括 如 下 内 容 : 
。 环境 控制 审计 ,包括 是 否 为 信息 系统 的 硬件 设备 提供 适合 的 工作 环境 ,保证 设备 正 
常 运 转 。 
。 技术 安全 控制 审计 ,包括 是 否 通过 加 密 技术 限制 未 经 授权 的 人 员 接 触 机 密 数 据 和 文 
件 , 是 否 有 系统 硬 软件 和 数据 文件 的 灾难 补救 计划 ,是 否定 期 或 在 重要 操作 前 对 数 
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据 进行 备份 ,以 减少 意外 导致 损失 的 可 能 性 。 
3) 部 位 安全 审计 
包括 以 下 几 种 审计 : 

。 系统 设备 的 安全 审计 。 
。 操作 系统 安全 的 审计 。 
。 网络 及 其 应 用 的 安全 审计 。 
。 数据 库 系统 安全 审计 。 
。 应 用 系统 的 安全 审计 。 
。 环境 安全 审计 。 

4) 信息 系统 威胁 审计 
包括 以 下 几 种 审计 : 

。 对 来 自 外 部 攻击 的 审计 。 
。 对 来 自 内 部 攻击 的 审计 。 
5) 对 电子 数据 的 安全 审计 


3. 信息 系统 安全 审计 的 基本 步骤 


(1) 编制 组 织 使 用 的 信息 系统 清单 并 对 其 进行 分 类 。 

(2) 决定 哪些 系统 影响 关键 功能 和 资产 。 

(3) 评估 哪些 风险 影响 这 些 系统 及 对 商业 运作 的 冲击 。 

(4) 在 上 述评 估 的 基础 上 对 系统 分 级 ,决定 审计 优先 值 、 资 源 、 进 度 和 频率 。 审 计 者 可 
以 制订 年 度 审 计 计 划 , 开 列 出 一 年 之 中 要 进行 的 审计 项 目 。 


4. 信息 系统 安全 审计 工具 


审计 可 以 采用 如 下 一 些 工 具 。 

(1) 检验 表 : 是 为 审计 工作 标准 化 提供 的 一 种 简捷 的 工具 。 主 要 分 为 3 类 : 

。 审计 检验 表 。 可 以 分 为 被 审 部 门 校 验 (检查 ) 表 (分 为 审计 项 目 、 审 计 方 法 和 审计 结 
论 列 表 ) 和 审计 条 款 校 验 (检查 ) 表 (分 为 责任 部 门 、 审 计 内 容 、 检 查 方式 和 审计 结论 
列表 ) 等 。 

。 设置 检验 表 。 

(2) 扫描 工具 : 进行 IP .端口 号 和 漏洞 扫描 。 

(3) 完整 性 检验 工具 : 进行 完整 性 保护 检验 ,如 Triwire 等 。 

(4) 渗透 测试 工具 。 


5.5 信息 系统 安全 测评 准则 
任何 信息 系统 的 安全 需求 都 不 是 无 限 的 ,因为 无 限 的 需求 需要 无 限 的 投入 。 因 此 对 于 


信息 系统 的 安全 确立 一 个 评价 准则 非常 必要 。 
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5.5.1 国际 信息 安全 测评 准则 


世界 上 最 早 的 计算 机 系统 安全 标准 是 美国 国防 部 于 1979 年 6 月 25 日 发 布 的 军 标 DoD 
5200. 28-M。 在 此 基础 上 ,美国 国防 部 于 1983 年 发 布 可 信 计 算 机 系统 评价 准则 TCSEC 
(1985 年 发 布 正式 版 ), 又 称 橘 皮 书 。 以 后 ,许多 国家 和 国际 组 织 也 相继 提出 了 新 的 安全 评 
价 准 则 。 图 5.6 所 示 为 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 。 


加 拿 大 可 信 计 算 机 


产品 评价 准 见 
CTCPEC(1993 年 


美国 国防 部 美国 国防 部 可 信 欧洲 信息 技术 国际 通用 准则 CC 成 为 国际 标准 
DoD 5200.28-M | 王 >| 计算 机 评价 准则 | 己 >| ”安全 性 评价 准则 ”| 己 > CC >| ISO 15408 
(1972 年 ) TCSEC(1985 年 ) ITSEC(1991 年 ) (1995 年 ) (1999 年 ) 


美国 联邦 准则 
FC 


(1993 年 ) 


图 5.6 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 


在 信息 安全 等 级 标准 中 ,一 个 非常 重要 的 概念 是 可 信 计 算 基 (CTrusted Computer Base， 
TCB)。TCB 是 计算 机 系统 赖 以 实施 安全 性 的 一 切 设施 ,包括 硬件 .固件 、 软 件 和 负责 安全 
策略 的 组 合 。 它 们 根据 安全 策略 来 处 理 主体 (系统 管理 员 .安全 管理 员 .用 户 和 进程 ) 对 客体 
(进程 文件、 记录 和 设备 等 ) 的 访问 ,通常 包括 下 列 部 分 。 

。 操作 系统 的 安全 内 核 。 

。 具有 特权 的 程序 和 命令 。 

。 处 理 敏 感 信息 的 程序 ,如 系统 管理 命令 等 。 

。 与 TCB 实施 安全 策略 有 关 的 文件 。 

。 其 他 有 关 的 固件 .硬件 和 设备 。 

。 负责 系统 管理 的 人 员 。 

。 保障 固件 和 硬件 正确 的 程序 和 诊断 软件 。 

。 具有 抗 自 改 的 性 能 和 易于 分 析 与 测试 的 结构 。 


1. DoD 5200.28-M 


DoD 5200. 28-M 为 计算 机 系统 定义 了 4 种 不 同 的 运行 模式 。 

(1) 受 控 的 安全 模式 : 系统 用 户 对 系统 的 机 密 资 料 的 访问 控制 没有 在 操作 系统 中 实 
现 ,安全 的 实现 可 以 通过 控制 用 户 对 计算 机 的 操作 权限 等 管理 措施 实现 。 

(2) 自主 安全 模式 : 计算 机 系统 和 外 围 设 备 可 以 在 指定 用 户 或 用 户 群 的 控制 下 工作 ， 
该 类 用 户 了 解 并 可 自主 地 设置 机 密 资料 的 类 型 与 安全 级 别 。 

(3) 多 级 安全 模式 : 系统 允许 不 同 级 别 和 类 型 的 机 密 资 料 并 存 和 并 发 处 理 , 并 且 有 选 
择 地 许可 不 同 的 用 户 对 存储 数据 进行 访问 。 用 户 与 数据 的 隔离 控制 由 操作 系统 和 相关 系统 
软件 实现 。 
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(4) 强 安全 模式 : 所 有 系统 部 件 依照 最 高 级 别 类 型 得 到 保护 ,所 有 系统 用 户 必 须 有 一 
个 安全 策略 ;系统 的 控制 操作 对 用 户 透 明 , 由 系统 实现 对 机 密 资料 的 并 发 控制 。 


2. TCSEC 


TCSEC 是 计算 机 系统 安全 评价 的 第 一 个 正式 标准 ,于 1970 年 由 美国 国防 科学 技术 委 
员 会 提出 ,于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 把 计算 机 系统 的 安全 分 为 如 下 4 等 
7 级 。 

17 访 等 《 合 了 1 级 》 

D1 级 系统 : 最 低级 。 只 为 文件 和 用 户 提供 安全 保护 。 

2) C 等 ( 含 2 级 ) 

C1 级 系统 : 可 信 计 算 基 通过 用 户 和 数据 分 开 来 达到 安全 目的 ,使 所 有 的 用 户 都 以 同样 
的 灵敏 度 处 理 数据 (可 认为 所 有 文档 有 相同 的 机 密 性 )。 

C2 级 系统 : 在 Cl 级 的 基础 上 ,通过 登录 、 安 全 事件 和 资源 隔离 增强 可 调 的 审慎 控制 。 
在 连接 到 网 上 时 ,用 户 分 别 对 自己 的 行为 负责 。 

3) BB 等 ( 含 3 级 ) 

B 级 具有 强制 性 保护 功能 。 强 制 性 意味 着 在 没有 与 安全 等 级 相连 的 情况 下 ,系统 就 不 
会 让 用 户 存 取 对 象 。 

Bl 级 系统 要 求 如 下 : 

。 对 每 个 对 象 都 进行 灵敏 度 标记 .导入 非 标记 对 象 前 要 先 标 记 它 们 。 

。 用 灵敏 度 标记 作为 强制 访问 控制 的 基础 。 

。 灵敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 。 

。 系统 必须 使 用 用 户口 令 或 身份 认证 来 决定 用 户 的 安全 访问 级 别 。 

。 系统 必须 通过 审计 来 记录 未 授权 访问 的 企图 。 

B2 级 系统 要 求 如 下 : 

” 必须 符合 Bl 级 系统 的 所 有 要 求 。 

。 系统 管理 员 必 须 使 用 一 个 明确 的 .文档 化 的 安全 策略 模式 作为 系统 可 信任 运算 基础 

体制 ;可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

。 只 有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 。 

。 所 有 与 用 户 相关 的 网 络 连接 的 改变 必须 通知 所 有 的 用 户 。 

B3 级 系统 具有 很 强 的 监视 委托 管理 访问 能 力 和 抗 干扰 能 力 。 要 求 如 下 : 

。 必须 符合 B2 级 系统 的 所 有 安全 需求 。 

。 必须 设 有 安全 管理 员 。 

。 除 控 制 个 别 对 象 的 访问 外 ,必须 产生 一 个 可 读 的 安全 列表 ;每 个 被 命名 的 对 象 提供 

对 该 对 象 没有 访问 的 用 户 列表 说 明 。 

。 系统 验证 每 一 个 用 户 身 份 ,并 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 。 

”设计 者 必须 正确 区 分 可 信任 路 径 和 其 他 路 径 。 

”可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 。 

。 286 。 


* 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

4) A 等 (只 含 1 级 ) 

Al 级 : 最 高 安全 级 别 。Al 级 与 B3 级 相似 ,对 系统 的 结构 和 策略 不 作 特 别 要 求 , 而 系 
统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 进行 系统 分 析 ; 分 析 后 必须 用 核对 技术 确保 系统 
符合 设计 规范 。Al 级 系统 必须 满足 如 下 要 求 : 

。 系统 管理 员 必 须 接收 到 开发 者 提供 的 安全 策略 正式 模型 。 

。 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 。 

。 系统 管理 员 进 行 的 每 一 步 安 装 操 作 必 须 有 正式 的 文档 。 

TCSEC 的 初 囊 主要 是 针对 集中 式 计 算 的 分 时 多 用 户 操 作 系 统 。 后 来 又 针对 网 络 ( 分 布 
式 ) 和 数据 库 管理 系统 (C/S 结构 ) 补 充 了 一 些 附 加 说 明和 人 解释 ,典型 的 有 可 信 计 算 机 网 络 系 
统 说 明 (NCSC-TG-005) 和 可 信和 数据 库 管理 系统 解释 等 。 


3. 欧 共 体 信息 技术 安全 评价 准则 ITSEC 


ITSEC 是 欧 共 体 于 1991 年 发 布 的 , 它 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ,应 用 领域 
为 军队 政府 和 商业 。 该 标准 将 安全 的 概念 分 为 功能 和 评估 两 部 分 。 

1) 功能 准则 

分 为 10 级 : F1 一 Fl10。 

。 Fl1~F5 对 应 TCSEC 的 C1 等 一 A 等 。 

。F6 一 Fl10 对 应 数据 和 程序 的 完整 性 .系统 的 可 用 性 数据 通信 的 完整 性 和 保密 性 。 

2) 评估 准则 

分 为 6 级 ,分 别 是 测试 .配置 控制 和 可 控 的 分 配 .详细 设计 和 编码 .详细 的 脆弱 性 分 析 、 
设计 与 源 代码 明显 对 应 以 及 设计 与 源 代码 在 形式 上 的 一 致 。 


4. 加 拿 大 可 信 计 算 机 产品 安全 评价 准则 CTCPEC 


CTCPEC 是 加 拿 大 于 1993 年 发 布 的 。 它 综合 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ， 
专门 针对 政府 需求 设计 。 它 将 安全 分 为 功能 性 需求 和 保证 性 需求 两 部 分 。 功 能 性 需求 分 为 
4 大 类 : 

。 机 密 性 ; 

。 可 用 性 ; 

- 完整 性 ; 

。 可 控 性 。 

每 一 类 安全 需求 又 分 为 一 些小 类 (分 级 条 数 0 一 5) ,以 表示 安全 性 上 的 差别 。 

5. 美国 信息 技术 安全 评价 联邦 准则 FC 

FC 也 吸收 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ,于 1993 年 发 布 的 。 它 引入 了 “保护 
轮廓 ”PP) 的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 3 部 分 ,在 美国 政府 .民间 和 商 


业 上 应 用 很 广 。 
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6. 国际 通用 准则 CC 


1993 年 6 月 ,欧美 的 6 个 国家 将 各 自 独 立 的 准则 集合 成 一 系列 单一 的 、 能 被 广泛 接受 
的 IT 安全 准则 一 一 通用 准则 (COC) ,将 CC 提交 给 ISO ,于 1996 年 颁布 了 1. 0 版 。1999 年 
12 月 ISO 正式 将 CC 2. 0(1998 年 颁布 ) 作 为 国际 标准 一 一 ISO 15408 发 布 。 

CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC, 并 突出 了 “保护 轮廓 ”的 概念 ,将 评估 过 程 
分 为 安全 保证 和 安全 功能 两 部 分 。 安 全 保证 分 为 7 个 评估 保证 级 别 : 

EAL1: 功能 测试 ; 

EAL2: 结构 测试 ; 

EAL3: 系统 测试 和 检查 ; 

EAL4: 系统 设计 ,测试 和 复查 ; 

EAL5: 半 形 式 化 设计 和 测试 ; 

EAL6: 半 形 式 化 验证 的 设计 和 测试 ; 

EAL7: 集成 化 验证 的 设计 和 测试 。 

表 5. 10 为 CC、TCSEC 和 ITSEC 标准 的 对 应 关系 。 


表 5.10 CC、TCSEC 和 ITSEC 标准 的 对 应 关系 
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CC 目前 已 经 发 布 了 如 下 版 本 : 

。 1996 年 6 月 发 布 CC 第 1 版 。 

。1998 年 5 月 发 布 CC 第 2 版 。 

。 1999 年 10 月 发 布 CC 第 2.1 版 ,并 成 为 ISO 标准 。 


5.5.2 中 国信 息 系 统 安全 保护 等 级 划分 准则 


中 国 已 经 发 布 实施 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》GB 17859 一 1999。 这 是 
一 部 强制 性 国家 标准 ,也 是 一 种 技术 法 规 。 它 是 在 参考 了 DoD 5200. 28-STD 和 NCSC-TC- 
005 的 基础 上 ,从 自主 访问 控制 .强制 访问 控制 .标记 、 身 份 鉴别 .客体 重用、 审计 、 数 据 完整 
性 、 隐 项 信道 分 析 、` 可 信 路 径 和 可 恢复 10 个 方面 将 计算 机 信息 系统 安全 保护 等 级 划分 为 5 
个 级 别 的 安全 保护 能 力 。 

第 一 级 : 用 户 自主 保护 级 ,相当 于 TCSEC 中 定义 的 Cl 级 。 

第 二 级 : 系统 审计 保护 级 ,相当 于 TCSEC 中 定义 的 C2 级 。 

第 三 级 : 安全 标记 保护 级 ,相当 于 TCSEC 中 定义 的 Bl 级 。 

第 四 级 : 结构 化 保护 级 ,相当 于 TCSEC 中 定义 的 B2 级 。 

第 五 级 : 访问 验证 保护 级 ,相当 于 TCSEC 中 定义 的 B3 级 。 
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计算 机 信息 系统 的 安全 保护 能 力 随 着 安全 保护 等 级 的 提高 而 增强 。 
在 信息 安全 等 级 标准 中 ,各 等 级 之 间 的 差异 在 于 TCB 的 构造 不 同 以 及 其 所 具有 的 安全 
保护 能 力 的 不 同 。 表 5. 11 为 这 5 个 级 别 之 间 的 简单 比较 。 
表 5.11 操作 系统 的 5 个 级 别 之 间 的 比较 


第 四 级 第 五 级 
结构 化 保护 级 | 访问 验证 保护 级 


自主 访问 控制 
身份 鉴别 
审计 

强制 访问 控制 


标记 

隐藏 信道 分 析 
可 信 路 径 

可 信和 恢复 


下 面 介 绍 各 等 级 的 基本 内 容 。 
1. 第 一 级 : 用 户 自主 保护 级 


本 级 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具 备 自主 安全 保护 的 能 力 。 它 具有 多 种 
形式 的 控制 能 力 ,对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 用 户 和 用 户 组 信息 ， 
避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 具 体 保护 能 力 如 下 : 

(1) 自主 访问 控制 : 可 信 计 算 基 定义 系统 中 的 用 户 和 命名 用 户 对 命名 客体 的 访问 ,并 
允许 命名 用 户 以 自己 的 身份 和 (或 ) 用 户 组 的 身份 指定 并 控制 对 客体 的 访问 ;阻止 非 授 权 用 
户 读 取 敏感 信息 。 

(2) 身份 鉴别 : 从 用 户 的 角度 看 ,可 信 计 算 基 的 责任 就 是 进行 身份 鉴别 。 在 系统 初始 
化 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 制 ( 例 如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 
韭 授 权 用 户 访问 用 户 身 份 鉴别 数据 。 

(3) 数据 完整 性 : 可 信 计 算 基 通 过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 


2. 第 二 级 : 系统 审计 保护 级 
这 一 级 除 具 备 第 一 级 所 有 的 安全 功能 外 ,要 求 创建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 
用 户 对 自己 的 合法 性 行为 负责 。 具 体 保护 能 力 如 下 。 


(1) 自主 访问 控制 : 可 信 计 算 基 定义 实施 的 访问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 
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的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

(2) 身份 鉴别 比 用 户 自 主 保护 级 增加 两 点 : 

。 通 过 为 用 户 提 供 唯 一 标识 ,可 信 计 算 基 使 用 户 对 自己 的 行为 负责 。 

。 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(3) 客体 重用 : 在 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信 息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(4) 审计 : 在 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 

可 信 计 算 基 能 记录 下 述 事件 : 使 用 的 身份 鉴别 机 制 ;将 客体 引入 用 户 地 址 空间 (例如 打 
开 文 件 、 程 序 初始 化 ) ;删除 客体 ;由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管理 员 实 施 的 动作 ， 
以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 日 期 和 时 间 、 用 
户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 ( 例 如 终端 标识 
符 ) ;对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 名 。 对 不 能 由 
可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 由 授权 主体 调用 。 这 些 审 
计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 记录 。 

(5) 数据 完整 性 : 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修改 或 破坏 敏感 
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3. 第 三 级 : 安全 标记 保护 级 


本 级 的 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 需 以 访问 对 象 的 安全 级 
别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 访问 。 为 此 需要 提供 有 关 安 全 策略 模型 、 
数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ,具有 准确 地 标记 输出 信息 的 能 力 ， 
消除 测试 发 现 的 任何 错误 。 具 体 保 护 能 力 如 下 。 
(1) 自主 访问 控制 : 同系 统 审 计 保护 级 。 
(2) 强制 访问 控制 : 可 信 计 算 基 对 所 有 主体 及 其 控制 的 客体 (例如 进程 .文件 、 段 和 设 
备 ) 实 施 强 制 访问 控制 。 通 过 敏感 标记 为 这 些 主体 及 客体 指定 安全 等 级 。 安 全 等 级 用 二 维 
组 表示 : 第 一 维 是 等 级 分 类 (如 秘密 、 机 密 和 绝密 等 ), 第 二 维 是 范畴 (如 适用 范畴 )。 它 们 是 
实施 强制 访问 控制 的 依据 。 可 信 计 算 基 支持 两 种 或 丙种 以 上 成 分 组 成 的 安全 级 。 可 信 计 算 
基 控 制 的 所 有 主体 对 客体 的 访问 应 满足 以 下 要 求 : 
” 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 
中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 读 客 体 。 
” 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 
中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 
可 信 计 算 基 使 用 身份 和 鉴别 数据 来 鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 可 信 计 算 基 外 
部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 
(3) 敏感 标记 : 是 实施 强制 访问 的 基础 。 可 信 计 算 基 应 明确 规定 需要 标记 的 客体 ( 例 
如 进程 文件 、 段 和 设备 ) ,明确 定义 标记 的 粒度 (如 文件 级 、 字 有 段 级 等 ), 并 必须 使 其 主要 数据 
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结构 具有 相关 的 敏感 标记 。 为 了 输入 未 加 安全 标记 的 数据 ,可 信 计 算 基 向 授权 用 户 要 求 并 
接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 : 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自己 的 身份 ,而 且 , 可 信 计 
算 基 维护 用 户 身 份 识别 数据 并 确定 用 户 的 访问 权 及 授权 数据 。 其 他 同系 统 审计 保护 级 。 

(5) 客体 重用 : 同系 统 审计 保护 级 。 

(6) 审计 : 在 系统 审计 保护 级 的 基础 上 ,要 求 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 
的 能 力 。 

(7) 数据 完整 性 : 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 权 用 户 修 改 或 破 
坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 受 损 。 


4. 第 四 级 : 结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 以 主体 与 客体 。 此 外 ,还 要 考虑 隐蔽 信道 。 
本 级 的 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保 护 元 素 : 可 信 计 算 基 的 接口 也 必 
须 明 确定 义 , 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 :加强 了 鉴别 机 制 ; 支 持 
系统 管理 员 和 操作 员 的 职能 ;提供 可 信 设 施 管理 ;增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 
渗透 能 力 。 

与 安全 标记 保护 级 相 比 ,本 级 的 主要 特征 如 下 : 

(1) 可 信 计 算 基 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 

(2) 将 第 三 级 实施 的 (自主 或 强制 ) 访 问 控 制 扩 展 到 所 有 主体 和 客体 。 即 在 自主 访问 控 
制 方面 ,可 信 计 算 基 应 维护 由 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 主体 、 存 储 客 
体 和 输入 输出 资源 ) 实 施 强制 访问 控制 ,为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 
分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 

(3) 审计 : 

。 同系 统 安全 标记 保护 级 。 

。 计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

(4) 数据 完整 性 : 计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 
权 用 户 修 改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 
受 损 。 

(5) 隐蔽 信道 分 析 : 系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估 
算 确定 每 一 个 被 标识 信道 的 最 大 带宽 。 

(6) 可 信 路 径 : 对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 
间 提 供 可 信和 通信 和 路径, 该 路 径 上 的 通信 中 能 由 该 用 户 初始 化 。 

5. 第 五 级 : 访问 验证 保护 级 

本 级 的 可 信 计 算 基 满足 引用 监视 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 
问 监控 器 本 身 是 抗 自 改 的 ,必须 足够 小 ,能 够 分 析 和 测试 。 


为 了 满足 访问 监控 器 的 需求 ,可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 
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非 必 要 的 代码 ;在 设计 和 现实 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 提 
供 系 统 恢复 机 制 管 理 员 职能 ;扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ;提供 系 
统 恢复 机 制 。 系 统 具 有 很 高 的 抗 渗透 能 力 。 

与 第 四 级 相 比 ,本 级 的 主要 特征 有 如 下 几 个 方面 。 

(1) 可 信 计 算 基 的 构造 方面 : 本 级 具有 访问 监控 器 。 访 问 监控 器 是 监视 主体 和 客体 之 
间 授 权 关 系 的 部 件 ,仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 必须 是 抗 自 改 的 ,并 且 是 可 分 
析 和 测试 的 。 

(2) 在 自主 访问 控制 方面 : 由 于 有 访问 监控 器 ,所 以 访问 控制 能 为 每 个 客体 指定 用 户 
和 用 户 组 ,并 规定 他 们 对 客体 的 访问 模式 。 没 有 存储 权 的 用 户 只 允许 由 授权 用 户 指 定 对 客 
体 的 访问 权 。 

(3) 在 审计 方面 : 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超 
过 阔 值 时 ,能够 立即 向 安全 管理 员 发 出 警报 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 
积累 ,系统 应 以 最 小 的 代价 终止 它们 。 

(4) 可 信人 恢复 : 提供 过 程 和 机 制 ,保证 计算 机 信息 系统 失效 或 中 断后 ,可 以 进行 不 损害 
任何 安全 保护 性 能 的 恢复 。 


5.5.3 信息 安全 测评 认证 体系 
1. 一 般 国 家 的 信息 安全 测评 认证 体系 


目前 世界 许多 国家 都 建立 了 国家 信息 安全 测评 认证 体系 。 图 5.7 为 已 经 建立 CC 信息 
安全 测评 认证 体系 的 国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结构 。 


家 标准 化 部 门 


画 


国家 安全 /情报 部 门 


监管 授权 


政府 授权 的 认证 机 构 
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CC 评估 测试 实验 室 
图 5.7 国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结构 


在 这 样 的 安全 测评 认证 组 织 结构 中 ,认证 机 构 是 核心 。 认 证 机 构 是 一 些 公正 的 第 三 方 ， 
负责 具体 管理 信息 安全 产品 的 安全 性 评估 和 认证 ,并 颁发 认证 证 书 。 它们 上 由 国家 标准 化 
部 门 认 可 和 授权 ,并 受 国 家 安全 和 情报 主管 部 门 的 监管 ;下 可 委托 一 些 具 有 商业 性 质 的 CC 
测试 实验 室 进行 安全 性 评估 和 认证 的 具体 实施 ,并 向 认证 机 构 提 交 结 果 。 

2. 国际 互 认 

1995 年 CC 项 目 组 成 立 了 CC 国际 互 认 工作 组 ,并 于 1997 年 制定 了 过 渡 性 互 认 协 定 。 
目前 ,参加 CC 互 认 协定 (CCRA) 已 经 有 美国 的 NSA 和 NIST、 加 拿 大 的 CSE、 英 国 的 


CESG .德国 的 GISA ,法国 的 SCSSI、 新 西 兰 的 DSD, 以 及 澳大利亚 、 和 荷兰、 西班牙 意大利、 
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挪威 .芬兰 .瑞典 .希腊 等 20 多 个 国家 的 政府 官方 组 织 。 目 前 CCRA 也 已 经 允许 有 政府 机 
构 参 与 或 授权 的 非 官方 组 织 参加 。 


3. 中 国 国家 信息 安全 测评 认证 中 心 


中 国 国家 信息 安全 测评 认证 中 心 是 国家 授权 的 、 并 按照 CC 准则 建立 的 具有 第 三 方 性 
质 的 技术 机 构 。 它 代表 国家 ,并 依照 国家 认证 的 法 律 、 法 规 和 信息 安全 管理 政策 ,对 信息 技 


术 .信息 系统 、 信 息 安 全 产品 以 及 安全 服务 的 安全 性 实施 测试 、 评 估 和 认证 。 5.8 为 中 国 
国家 信息 安全 测评 认证 中 心 开展 涉 密 信息 系统 认证 的 流程 。 
国家 保密 局 
一 申请 | 二 | 。 认证 中 心 受理 申请 
反馈 上 | 专家 评估 、 静态 分 析 
运 | 壳 | 市 通知 | [方案 评估 报告 、 结 论 报 送 
从 | 批 | 报 
反馈 安全 核查 /系统 测试 
通 交 
祯 出 评 认证 音信 天 | 和 认证 证 书 | 核查 报告 | 报 送 


图 5.8 中 国 国家 信息 安全 测评 认证 中 心 开展 涉 密 信息 系统 认证 的 流程 


5.6 开放 系统 互联 安全 体系 结构 


一 个 信息 系统 的 安全 涉及 有 关 安 全 的 众多 因素 和 要 求 , 如 保密 性 、 完 整 性 、 可 扩展 性 、 方 
便 性 以 及 成 本 等 。 这 些 要 求 往往 是 有 冲突 的 。 特 别 重 要 的 是 ,存在 安全 理论 与 系统 实际 之 
间 的 特殊 性 冲突 。 因 此 一 个 系统 安全 的 最 后 实现 ,一 定 是 这 些 众多 因素 的 协调 和 折 中 考虑 ， 
也 是 理论 如 何 应 用 于 实际 的 问题 。 研 究 信 息 系 统 安 全 体系 结构 的 目的 ,就 是 将 普遍 性 的 安 
全 体系 原理 与 信息 系统 自身 的 实际 相 结 合 , 从 所 需要 保护 的 信息 系统 资源 出 发 ,分 析 由 系统 
可 能 的 威胁 和 系统 自身 可 能 的 漏洞 形成 的 安全 风险 ,建立 系统 安全 需求 ,从 管理 和 技术 上 保 
证 安全 策略 得 以 完整 准确 的 实现 ,安全 需求 得 以 全 面 准 确 的 满足 。 

本 节 介 绍 开放 系统 互联 安全 体系 结构 , 即 著名 的 ISO/OSI 安全 体系 结构 。 它 是 国际 标 
准 化 组 织 ISO 于 1989 年 在 对 OSI( 开 放 系 统 互联 ) 环 境 的 安全 性 进行 深入 研究 的 基础 上 提 
出 的 ISO 7498-2 和 《Internet 安全 体系 结构 》(RFC 2401)。 中 国 国 家 标准 《信息 处 理 系 统 开 
放 系 统 互联 基本 参考 模型 一 一 第 二 部 分 : 安全 体系 结构 》(GB/T 9387. 2 一 1995) 是 一 个 与 
之 等 同 的 标准 , 它 给 出 了 基于 OSI 参考 模型 七 层 协 议 之 上 的 信息 安全 体系 结构 。 
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5.6.1 开放 系统 互联 安全 体系 结构 概述 


OSI 安全 体系 结构 是 一 个 普遍 适用 的 安全 体系 结构 ,其 核心 内 容 是 保证 异 构 计算 机 系 
统 进程 与 进程 之 间 远 距离 交换 信息 的 安全 ;其 基本 思想 是 ,为 了 全 面 而 准确 地 满足 一 个 开放 
系统 的 安全 需求 ,必须 在 7 个 层次 中 提供 必需 的 安全 服务 、 安 全 机 制 和 技术 管理 ,以 及 它们 
在 系统 上 的 合理 部 署 和 关系 配置 。 这 个 体系 结构 可 以 用 图 5. 9 表示 。 


OSI 参考 模型 
应 用 层 上 
表示 层 | 
会 话 层 | 
传输 层 上 
网 络 层 上 
数据 链 路 层 上 
物理 层 上 
加 数 访 数 数 业 路 公 安全 机 制 
密 据 辣 据 据 务 由 十 
罕 控 完 交 流 控 
名 制 粥 孩 填 币 
性 充 
图 5.9 OSI 安全 体系 结构 


OSI 安全 体系 结构 提供 的 内 容 如 下 : 

(1) 提供 安全 体系 结构 所 配备 的 安全 服务 (也 称 安全 功能 ) 和 有 关 安 全 机 制 在 体系 结构 
下 的 一 般 描述 。 

(2) 确定 体系 结构 内 部 可 以 提供 相关 安全 服务 的 位 置 。 

(3) 保证 完全 准确 地 配置 安全 服务 .并且 一 直 维 持 于 信息 系统 安全 的 生命 周期 中 ,安全 
服务 必须 满足 一 定 强度 的 要 求 。 

(4) 一 种 安全 服务 可 以 通过 某 种 单独 的 安全 机 制 提供 ,也 可 以 通过 多 种 安全 机 制 联合 
提供 ,一 种 安全 机 制 可 用 于 提供 一 种 或 多 种 安全 服务 ,在 七 层 协议 中 除 第 五 层 ( 会 话 层 ) 外 ， 
每 一 层 均 能 提供 相应 的 安全 服务 。 

实际 上 ,最 适合 配置 安全 服务 的 是 在 物理 层 、 网 络 层 、 传 输 层 和 应 用 层 上 。 其 他 层 都 不 
宜 配 置 安全 服务 。 


5.6.2 OSI 安全 体系 结构 的 安全 服务 
OSI 安全 体系 结构 中 定义 的 5 大 类 安全 服务 ,也 称 安全 防护 措施 。 
1. 鉴别 服务 


鉴别 是 最 基本 的 安全 服务 ,是 对 付 假冒 攻击 的 有 效 方 法 。 鉴 别 可 以 分 为 对 等 实体 鉴别 
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和 数据 源 鉴别 。 

1) 对 等 实体 鉴别 

对 等 实体 鉴别 是 在 开放 系统 的 两 个 同 层 对 等 实体 间 建 立 连 接 和 传输 数据 期 间 ,为 证 实 
一 个 或 多 个 连接 实体 的 身份 而 提供 的 一 种 安全 服务 。 这 种 服务 可 以 是 单 向 的 ,也 可 以 是 双 
向 的 ;可 以 带 有 有 效 期 检验 ,也 可 以 不 带 。 从 七 层 参考 模型 看 , 当 由 N 层 提供 这 种 服务 时 ， 
将 使 N 十 1 层 实 体 确信 与 之 打交道 的 对 等 实体 正 是 它 所 需要 的 对 等 N 十 1 层 实体 。 

2) 数据 源 鉴别 

数据 源 鉴别 服务 是 对 数据 单元 的 来 源 提供 识别 ,但 对 数据 单元 的 重复 或 算 改 不 提供 鉴 
别 保护 。 从 七 层 参考 模型 看 , 当 由 N 层 提供 这 种 服务 时 ,将 使 N 十 1 层 实体 确信 数据 来 源 
正 是 它 所 需要 的 对 等 N 十 1 层 实体 。 


2. 访问 控制 


访问 控制 用 于 防止 资源 未 授权 使 用 。 在 OSI 安全 体系 结构 中 ,访问 控制 的 安全 目标 
如 下 : 

(1) 通过 进程 (可 以 代表 人 员 或 其 他 进程 行为 ) 对 数据 不 同 进程 或 其 他 计算 资源 的 访问 
控制 。 

(2) 在 一 个 安全 域内 的 访问 或 跨越 一 个 或 多 个 安全 域 的 访问 控制 。 

(3) 按照 其 上 下 文 进行 的 访问 控制 。 如 根据 试图 访问 的 时 间 、 访 问 者 地 点 或 访问 路 由 
等 因素 的 访问 控制 。 

(4) 在 访问 期 间 对 授权 更 改 做 出 反应 的 访问 控制 。 


3. 机 密 性 


机 密 性 就 是 保护 信息 (数据 ) 不 泄露 或 不 泄露 给 那些 未 授权 掌握 这 一 信息 的 实体 。 

在 信息 系统 安全 中 需要 区 分 两 类 机 密 性 服务 。 

(1) 数据 机 密 性 服务 : 使 攻击 者 想 要 从 某 个 数据 项 中 推出 敏感 信息 是 十 分 困难 的 。 

(2) 业务 流 机 密 性 服务 : 使 攻击 者 想 要 通过 观察 通信 系统 的 业务 流 来 获得 敏感 信息 是 
十 分 困难 的 。 

根据 所 加 密 的 数据 项 ,机 密 性 服务 可 以 有 如 下 几 种 类 型 。 

(1) 连接 机 密 性 : 为 一 次 C(N) 连 接 上 的 所 有 CN) 用 户 数据 提供 机 密 性 保护 。 

(2) 无 连接 机 密 性 : 为 单个 无 连接 的 (N)SDU 中 的 全 部 CN) 用 户 数据 提供 机 密 性 
保护 。 

(3) 选择 字段 机 密 性 : 为 那些 被 选择 的 字段 提供 机 密 性 保护 。 这 些 字段 或 处 于 (N) 连 
接 的 (N) 用 户 中 ,或 者 为 单个 无 连接 的 (N)SDU 中 的 字段 。 

(4) 通信 业务 流 机 密 性 : 使 得 通过 观察 通信 业务 流 而 不 可 能 推断 出 其 中 的 机 密 信 息 。 


4. 完整 性 


完整 性 服务 用 于 对 抗 数据 在 存储 、 传 输 等 处 理 过 程 中 受到 的 非 授 权 修 改 , 可 分 为 3 种 重 
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要 类 型 : 

(1) 连接 完整 性 服务 。 

(2) 无 连接 完整 性 服务 。 

(3) 选择 字段 完整 性 服务 。 

完整 性 服务 还 可 以 按 是 否 具 有 人 恢复 功能 分 为 以 下 两 种 类 型 : 

(1) 不 具有 恢复 功能 的 完整 性 服务 。 

(2) 具有 恢复 功能 的 完整 性 服务 。 

OSI 安全 体系 把 完整 性 服务 概括 为 以 下 5 个 方面 : 

(1) 带 恢复 的 连接 完整 性 : 为 C(N) 连 接 上 的 所 有 (CN) 用 户 数据 保证 其 完整 性 ,并 检测 整 
个 SDU 序列 中 的 数据 遭受 到 的 任何 自 改 .插入 和 删除 ,或 者 同时 进行 补救 和 /或 恢复 。 

(2) 不 带 恢 复 的 连接 完整 性 : 服务 同 带 恢复 的 连接 完整 性 ,只 是 不 做 补救 恢复 。 

(3) 选择 字段 的 连接 完整 性 : 为 一 次 连接 上 传送 的 (N)SDU 的 (N) 用 户 数据 中 的 选择 
字段 提供 完整 性 保护 ,确定 被 选择 字段 是 否 遭 受 了 算 改 、 插 人、 删除 或 不 可 用 。 

(4) 无 连接 完整 性 : 为 单个 无 连接 上 的 SDU 提供 完整 性 保护 ,检测 一 个 接收 到 的 SDU 
是 和 否 遭 受 了 自 改 ,并 在 一 定 程 度 上 提供 对 连接 重 放 的 检测 。 当 这 种 服务 由 CN) 提 供 时 ,对 发 
出 请 求 的 那个 CN 二 1) 实体 也 就 提供 了 完整 性 保护 。 

(5) 选择 字段 的 无 连接 完整 性 : 为 单个 无 连接 上 的 SDU 中 的 选择 字段 提供 完整 性 保 
护 ,检测 被 选择 字段 是 和 否 遭受 了 算 改 。 


5. 抗 抵赖 


上 面 的 安全 服务 是 针对 来 自 未 知 攻击 者 的 威胁 ,而 抗 抵赖 服务 的 目的 是 保护 通信 实体 
免 遭 来 自 其 他 合法 实体 的 威胁 。OSI 定义 的 抗 抵赖 服务 有 两 种 类 型 : 

(1) 有 数据 原 发 证 明 的 抗 抵赖 : 为 数据 的 接收 者 提供 数据 的 原 发 证 据 , 使 发 送 者 不 能 
抵赖 这 些 数据 的 发 送 或 否认 发 送 内 容 。 

(2) 有 交付 证 明 的 抗 抵赖 : 为 数据 的 发 送 者 提供 数据 交付 证 据 , 使 接收 者 不 能 抵赖 收 
到 这 些 数据 或 否认 接收 内 容 。 


5.6.3 OSI 七 层 中 的 安全 服务 配置 
1. 安全 分 层 及 服务 配置 原则 


安全 服务 分 层 以 及 安全 机 制 在 OSI 七 层 上 的 配置 应 按照 下 列 原则 进行 。 
(1) 实现 一 种 服务 的 不 同方 法 越 少 越 好 。 
(2) 在 多 层 上 提供 安全 服务 来 建立 安全 系统 是 可 取 的 。 
(3) 为 安全 所 需 的 附加 功能 不 应 该 也 不 必要 重复 OSI 的 现 有 功能 。 
(4) 避免 破坏 层 的 独立 性 。 
(5) 可 信 功 能 度 的 总 量 应 尽量 少 。 
(6) 只 要 一 个 实体 依赖 于 由 位 于 较 低 层 的 实体 提供 的 安全 机 制 , 那 么 任何 中 间 层 应 该 
按 不 违反 安全 的 方式 构建 。 
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(7) 只 要 可 能 ,就 应 以 作为 自 容纳 模块 起 作用 的 方法 来 定义 一 个 层 的 附加 安全 功能 。 
(8) 本 标准 被 认定 用 于 由 包含 所 有 7 层 的 端 系统 组 成 的 开放 系统 以 及 中 继 系 统 。 


2. 在 OSI 各 层 中 的 安全 服务 配置 


OSI 各 层 提供 的 安全 服务 配置 如 表 5. 12 所 示 。 不 论 所 要 求 的 安全 服务 是 由 该 层 提 供 
还 是 由 下 层 提供 ,各 层 上 的 服务 定义 都 可 能 需要 修改 。 


表 5.12 OSI 各 层 中 的 安全 服务 配置 


选择 字段 连接 完整 性 

无 连接 完整 性 

选择 字段 无 连接 完整 性 
有 数据 原 发 证 明 的 抗 抵 赖 
有 交付 证 明 的 抗 抵赖 


协 议 层 

安全 服务 
1 2 3 4 5 6 7 
对 等 实体 鉴别 V V a 
数据 源 鉴 别 V 3 y 
访问 控制 过 Sf A 
连接 机 密 性 V V 归 
无 连接 机 密 性 
连接 字段 机 密 性 | | V 
通信 业务 流 机 密 性 | | ~ 
带 恢复 的 连接 完整 性 y 
不 带 恢复 的 连接 完整 性 | |.3 y 
一 
到 
本 , 


注 : 表 中 空白 表示 不 提供 。 
5.6.4 OSI 安全 体系 结构 的 安全 机 制 

OSI 安全 体系 结构 没有 说 明 5 种 安全 服务 如 何 实现 ,但 是 它 给 出 了 8 种 基本 (特定 的 ) 
安全 机 制 , 使 用 这 8 种 安全 机 制 ,再 加 上 几 种 普遍 性 的 安全 机 制 , 将 它们 设置 在 适当 的 CN) 
层 上 ,用 以 提供 OSI 安全 体系 结构 安全 服务 。 

1. OSI 的 8 种 特定 的 安全 机 制 


1) 加 密 


在 OSI 安全 体系 结构 的 安全 机 制 中 ,加 密 涉 及 3 个 方面 的 内 容 : 
。 297 。 


(1) 密码 体制 的 类 型 ,对 称 密码 体制 和 非 对 称 密码 体制 。 

(2) 密 钥 管理 。 

(3) 加 密 层 的 选取 。 表 5. 13 给 出 了 加 密 层 选取 时 要 考虑 的 因素 , 它 不 推荐 在 数据 链 路 
层 上 的 加 密 。 

2) 数字 签名 

数据 签名 是 附加 在 数据 单元 上 的 一 些 数 据 ,或 是 对 数据 单元 所 做 的 密码 变换 ,这 种 附加 
数据 或 变换 可 以 起 如 下 作用 : 

表 5.13 加密 层 选取 时 要 考虑 的 因素 


加 密 要 求 加 密 层 
对 全 部 通信 业务 提供 加 密 物理 层 
细 粒 度 保护 (对 每 个 应 用 提供 不 同 的 密 钥 ) 过 示意 
抗 抵 赖 或 选择 字段 保护 SE 
提供 机 密 性 与 不 带 恢复 的 完整 性 
对 所 有 端 对 端 之 间 通 信 的 简单 块 进行 保护 网 络 层 
希望 有 一 个 外 部 的 加 密 设 备 (如 为 了 给 算法 和 密 钥 提供 物理 保护 或 防止 软件 错误 ) 
提供 带 恢复 的 完整 性 以 及 细 粒 度 保护 传输 层 


(1) 供 接收 者 确认 数据 来 源 。 

(2) 供 接收 者 确认 数据 完整 性 。 

(3) 保护 数据 ,防止 他 人 伪造 。 

数字 签名 需要 确定 两 个 过 程 : 

(1) 对 数据 单元 签名 ,使 用 签名 者 私有 ( 独 有 或 机 密 的 ) 信 息 。 

(2) 验证 签 过 名 的 数据 单元 ,使 用 的 规程 和 信息 是 公开 的 ,但 不 能 推断 出 签名 者 的 私有 
信息 。 

3) 访问 控制 

访问 控制 是 一 种 对 资源 访问 或 操作 加 以 限制 的 策略 。 此 外 , 它 还 可 以 支持 数据 的 机 密 
性 、 数 据 完整 性 、 可 用 性 以 及 合法 使 用 的 安全 目标 。 访问 控制 机 制 可 应 用 于 通信 联系 中 的 任 
一 端点 或 任 一 中 间 点 。 

访问 控制 机 制 可 以 建立 在 下 面 的 一 种 或 多 种 手段 之 上 : 

。 访问 控制 信息 库 , 保 存 了 对 等 实体 的 访问 权限 。 

。 鉴别 信息 ,如 口令 等 。 

。 权限 。 

。 安全 标记 。 

。 试图 访问 的 时 间 。 

。 试图 访问 的 路 由 。 

。 访问 持续 期 。 

。298 - 


4) 数据 完整 性 

数据 完整 性 保护 的 目的 是 避免 未 授权 的 数据 乱 序 、 丢 失 、 重 放 、 插 入 和 自 改 。 下 面 讨论 
数据 完整 性 的 两 个 方面 : 单个 数据 或 字段 的 完整 性 和 数据 单元 流 或 字段 流 的 完整 性 。 

决定 单个 数据 单元 的 完整 性 涉及 两 个 实体 : 一 个 在 发 送 实体 上 ,一 个 在 接收 实体 上 。 
发 送 实 体 给 数据 单元 附 上 一 个 附加 量 ,接收 实体 也 产生 一 个 相应 的 量 , 通 过 比较 二 者 ,可 以 
判定 数据 在 传输 过 程 中 是 否 被 算 改 。 

对 于 连接 方式 数据 传送 ,保护 数据 单元 序列 的 完整 性 (包括 防止 乱 序 .数据 丢失 、 重 放 或 
算 改 ) ,还 需要 明显 的 排序 标记 ,如 顺序 号 、 时 间 标 记 或 密码 链 ; 对 于 无 连接 数据 传送 ,时 间 标 
记 可 以 提供 一 定 程 度 的 保护 ,防止 个 别 数据 单元 重 放 。 

5) 鉴别 交换 

(1) 可 用 于 鉴别 交换 的 技术 如 下 : 

。 鉴别 信息 ,如 口令 。 

。 密码 技术 。 

。 使 用 该 实体 特征 (生物 信息 等 ) 或 占有 物 (信物 等 )。 

(2) 可 以 结合 使 用 的 技术 如 下 : 

。 时 间 标 记 与 同步 时 钟 。 

。 两 次 握手 (单方 鉴定 ) 和 三 次 握手 (双方 鉴定 )。 

。 数字 签名 和 公证 。 

6) 通信 业务 填充 

通信 业务 填充 是 一 种 反 分 析 技 术 , 通 过 虚假 填充 将 协议 数据 单元 达到 一 个 固定 长 度 。 
它 只 有 受到 机 密 服务 保护 才 有 效 。 

7) 路 由 选择 控制 

路 由 选择 控制 机 制 可 以 使 敏感 数据 只 在 具有 适当 保护 级 别 的 路 由 上 传输 ,并 且 采 取 如 
下 一 些 处 理 : 

。 检测 到 持续 的 攻击 ,可 以 为 端 系 统 建立 不 同 的 路 由 的 连接 。 

。 依据 安全 策略 ,使 某 些 带 有 安全 标记 的 数据 禁止 通过 某 些 子 网 .中 继 或 链 路 。 

。 人 允许 连接 的 发 起 者 (或 无 连接 数据 单元 的 发 送 者 ) 指 定 路 由 选择 ,或 回避 某 些 子 网 、 

中 继 或 链 路 。 
8)7 公证 
公证 机 制 是 由 可 信 的 第 三 方 提供 数据 完整 性 、 数 据 源 .时 间 和 目的 地 等 的 认证 和 保证 。 


2. OSI 安全 服务 与 安全 机 制 之 间 的 关系 


表 5. 14 为 OSI 安全 服务 与 安全 机 制 之 间 的 关系 。 
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安 全 服务 


表 5.14 OSI 安全 服务 与 安全 机 制 之 间 的 关系 


安 全 机 制 


访问 控制 | 数据 完整 性 | 鉴别 交换 


业务 填充 


路 由 控制 


对 等 实体 鉴别 


V/ 


数据 源 鉴别 


访问 控制 


连接 机 密 性 


无 连接 机 密 性 


连接 字段 机 密 性 


流量 机 密 性 


带 恢复 的 连接 完整 性 


不 带 恢复 的 连接 完整 性 
选择 字段 连接 完整 性 
无 连接 完整 性 
选择 字段 无 连接 完整 性 
原 发 方 抗 抵赖 
接收 方 抗 抵赖 


5.6.5 OSI 安全 体系 的 安全 管理 


A | 0 ey 0 eM es 


OSI 安全 管理 活动 有 如 下 3 类 : 系统 安全 管理 ,安全 服务 管理 和 安全 机 制 管理 。 此 外 
还 必须 考虑 OSI 本 身 的 安全 和 特定 的 系统 安全 管理 活动 。 


1. 系统 安全 管理 


系统 安全 管理 着 眼 于 OSI 总 体 环境 的 管理 ,其 典型 活动 如 下 : 

(1) 总 体 安全 策略 的 管理 ,包括 一 致 性 修改 与 维护 。 

(2) 与 别 的 OSI 安全 管理 的 相互 作用 。 

(3) 与 安全 服务 管理 和 安全 机 制 管 理 的 交互 。 

(4) 事件 处 理 管理 。 在 OSI 中 可 以 看 到 的 是 事件 管理 的 实例 ,是 远程 报告 的 明显 违反 
安全 的 企图 以 及 对 用 来 触发 事件 报告 的 冰 值 的 修改 。 


(5) 安全 审计 管理 。 主 要 内 容 有 : 


”选择 将 被 记录 和 被 远程 收集 的 事件 。 
。 授予 或 取消 对 所 选 事件 进行 审计 跟踪 日 志 记 录 的 能 力 。 


。 所 选 审计 记录 的 收集 。 


。 准备 安全 审计 报告 。 
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(6) 安全 恢复 管理 。 主 要 内 容 有 : 

。 维护 用 于 对 实 有 的 或 可 疑 的 安全 事件 做 出 反应 的 规则 。 
。 远程 报告 明显 的 系统 安全 违规 。 

。 安全 管理 者 的 交互 。 


2. 安全 服务 管理 


安全 服务 管理 指 特定 安全 服务 的 管理 。 在 管理 一 种 特定 安全 服务 时 ,可 能 的 典型 的 活 
动 如 下 : 

(1) 为 该 种 服务 决定 并 指派 安全 保护 的 目标 。 

(2) 在 有 可 选择 的 情况 时 ,指定 与 维护 选择 规则 。 

(3) 对 需要 事先 取得 管理 者 同意 的 安全 机 制 进行 协商 。 

(4) 通过 适当 的 安全 机 制 管理 功能 ,调用 特定 的 安全 机 制 。 

(5) 与 其 他 安全 服务 管理 功能 和 安全 机 制 管理 功能 交互 。 


3. 安全 机 制 管理 


安全 机 制 管理 指 特定 安全 机 制 的 管理 。 典 型 的 安全 机 制 管理 有 下 列 一 些 。 
1) 密 钥 管理 
。 间 吹 性 地 产生 与 所 要 求 的 安全 级 别 相 称 的 合适 密 钥 。 
。 根据 访问 控制 的 要 求 , 决 定 每 个 密 钥 应 分 发 给 哪个 实体 。 
。 用 可 靠 办 法 使 这 些 密 钥 对 开放 系统 中 的 实体 是 可 用 的 ,或 将 这 些 密 钥 分 配给 它们 。 
2) 加 密 管 理 
。 与 密 钥 管理 交互 。 
。 建立 密码 参数 。 
。 密码 同步 。 
3) 数字 签名 管理 
。 与 密 钥 管理 交互 。 
。 建立 密码 参数 与 密码 算法 。 
。 在 通信 实体 与 可 能 有 的 第 三 方 之 间 使 用 协议 。 
4) 访问 控制 管理 
。 安全 属性 (包括 口令 ) 的 分 配 。 
。 对 访问 控制 表 或 权力 表 进 行 修 改 。 
。 在 通信 实体 与 其 他 提供 访问 控制 服务 的 实体 之 间 使 用 协议 。 
5) 数据 完整 性 管理 
。 与 密 钥 管理 交互 。 
。 建立 密码 参数 与 密码 算法 。 
。 在 通信 实体 间 使 用 协议 。 
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6) 鉴别 管理 

。 将 说 明 信 息 .口令 或 密 钥 (使 用 密 钥 管理 ) 分 配给 要 求 执行 鉴别 的 实体 。 

。 在 通信 的 实体 与 其 他 提供 鉴别 服务 的 实体 之 间 使 用 协议 。 

7) 通信 业务 填充 管理 

。 指定 数据 率 。 

。 指定 随机 数据 率 。 

。 指定 报 文 特性 ,例如 长 度 等 。 

。 可 能 按时 间或 日 历来 改变 这 些 规定 。 

8) 路 由 选择 控制 管理 

路 由 选择 管理 的 主要 功能 是 确定 那些 按 特 定 准则 被 认为 是 安全 可 靠 和 可 信任 的 链 路 或 
子 网 络 。 

9) 公证 管理 

。 分配 有 关公 证 的 信息 。 

。 在 公证 方 与 通信 的 实体 之 间 使 用 协议 。 

。 与 公证 方 的 交互 作用 。 

4. OSI 管理 的 安全 


所 有 OSI 管理 功能 的 安全 以 及 OSI 管理 信息 的 通信 安全 是 OSI 安全 的 重要 部 分 。 这 
一 类 安全 管理 将 对 上 面 所 列 的 OSI 安全 服务 与 机 制 进行 适当 的 选取 ,以 确保 OSI 管理 协议 
与 信息 获得 足够 的 保护 。 例 如 ,在 管理 信息 库 的 管理 实体 之 间 的 通信 一 般 要 求 某 种 形式 的 
保护 。 


5. 特定 的 系统 安全 管理 活动 


1) 事件 处 理 管理 
。 远程 报告 违反 系统 安全 的 明显 企图 。 
。 对 用 来 触发 事件 报告 的 阔 值 进行 修改 。 
2) 安全 审计 管理 
。 选择 将 被 记录 和 被 远程 收集 的 事件 。 
。 授予 或 取消 对 所 选 事件 进行 审计 跟踪 日 志 记录 的 能 力 。 
。 所 选 审计 记录 的 远程 收集 。 
。 准备 安全 审计 报告 。 
3) 安全 恢复 管理 
。 维护 那些 用 来 对 实 有 的 或 可 疑 的 安全 事故 作出 反应 的 规则 。 
。 远程 报告 对 系统 安全 的 明显 违反 。 
。 安全 管理 者 的 交互 作用 。 
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习 题 


一 、 选 择 题 


% 


系统 备份 与 普通 数据 备份 的 不 同 在 于 , 它 不 仅 备份 系统 中 的 数据 ,还 备份 系统 中 安装 的 应 用 程序 、 


数据 库 系统 、 用 户 设置 和 系统 参数 等 信息 ,以 便 迅 速 和 


2. 


cn 


A. 恢复 整个 系统 B. 恢复 所 有 数据 C. 恢复 全 部 程序 D. 恢复 网 络 设置 
灾难 恢复 计划 或 者 业务 连续 性 计划 关注 的 是 信息 资产 的 属性 。 
A. 可 用 性 B. 真实 性 C. 完整 性 D. 保密 性 


. 数据 备份 常用 的 方式 主要 有 完全 备份 、 增 量 备 份 和 。 


A. 逻辑 备份 B. 按 需 备份 C. 差分 备份 D. 物理 备份 


. 审计 管理 是 指 


A. 保证 数据 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 臻 
B. 防止 因数 据 被 截获 而 造成 的 泄密 

C. 对 用 户 和 程序 使 用 资源 的 情况 进行 记录 和 审查 

D. 信息 使 用 者 都 可 以 得 到 相应 授权 的 全 部 服务 


. 关于 安全 审计 目的 描述 错误 的 是 。 


A. 识别 和 分 析 未 经 授权 的 动作 或 攻击 B. 记录 用 户 活动 和 系统 管理 
C. 将 动作 归结 到 为 其 负责 的 实体 D. 实现 对 安全 事件 的 应 急 响应 


.安全 审计 跟踪 是 


A. 安全 审计 系统 检测 并 追踪 安全 事件 的 过 程 

B. 安全 审计 系统 收集 易于 安全 审计 的 数据 的 过 程 
C. 人 利用 日 志 信 息 进 行 安全 事件 分 析 和 追溯 的 过 程 
D. 对 计算 机 系统 中 的 某 种 行为 的 详尽 跟踪 和 观察 


“保护 数据 库 , 防 止 因 未 经 授权 的 或 不 合法 的 使 用 造成 的 数据 泄露 更改、 破坏 .” 这 是 指数 据 的 


保护 。 
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A. 安全 性 B. 完整 性 C. 并 发 D. 恢复 


. 信息 安全 评测 标准 CC 是 标准 。 


A. 美国 B. 国际 C. 中 国 D. 加 拿 大 
我 国 《信息 系统 安全 等 级 保护 基本 要 求 》 中 .对 不 同 级 别 的 信息 系统 应 具备 的 基本 安全 保护 能 力 进 


行 了 要 求 , 共 划分 为 级。 


A. 4 B. 5 C. 6 Wh 


10. 在 CC 中 , 称 为 访问 控制 保护 级 别 的 是 


A CL BB Bl C. C2 D. B2 


二 、 问 答题 


1. 简 述 紧急 响应 的 意义 。 

2. 试 述 紧急 响应 服务 在 实现 目的 方面 受 哪些 因素 制约 。 
3. 

4. 尽 可 能 多 地 列举 一 些 安全 事件 。 


如 何 制定 紧急 响应 预案 ? 


“ 303 


. 简 述 应 急事 件 处 理 的 基本 流程 。 

. 灾难 恢复 涉及 哪些 内 容 ? 

. 灾难 恢复 涉及 哪些 技术 ? 

. 简 述 数据 容错 和 数据 容 灾 之 间 的 联系 与 区 别 。 

. 简 述 数据 备份 在 数据 容错 和 数据 容 灾 中 的 作用 。 

. 简 述 各 种 数据 备份 技术 的 特点 。 

. 简 述 各 种 数据 备份 策略 的 用 途 。 

. 收集 国内 外 有 关 应 急 响应 、 数 据 容错 或 数字 取证 的 网 站 信息 .简要 说 明 各 网 站 的 特点 。 
. 收集 国内 外 有 关 应 急 响 应 、 数 据 容错 或 数字 取证 的 最 新 动态 。 

. 论述 数字 证 据 的 特征 。 

. 上 网 搜索 ,提交 一 份 有 关 数 字 取 证 工具 的 报告 。 

. 如何 保证 数字 证 据 的 安全 ? 

. 审计 与 人 侵 检测 技术 有 什么 关系 ? 

. 简 述 安全 审计 的 作用 。 

. 简 述 日 志 的 作用 和 记录 内 容 。 

. 审计 与 人 侵 检 测 有 什么 关联 ? 

. 收集 国内 外 有 关 安 全 审计 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 

. 收集 国内 外 有 关 安 全 审计 的 最 新 动态 。 

.风险 评估 对 于 信息 系统 安全 有 什么 意义 ? 

.为 一 个 组 织 的 信息 系统 进行 安全 风险 评估 。 

25. 
. 为 学 生成 绩 管理 系统 设计 一 个 安全 策略 。 这 个 系统 最 少 要 由 学 生 教师 和 管理 人 员 访 问 。 
27, 


NAI 公司 开发 了 一 个 用 于 安全 风险 评估 的 扫描 器 CyberCop Scanner, 试 安装 并 使 用 该 工具 。 


在 一 个 具有 读 、 写 .准许 和 取消 4 种 访问 操作 的 系统 中 ,准许 操作 可 以 授予 其 他 主体 读 和 写 的 访问 


权限 ,并 且 还 可 以 授予 其 他 主体 发 布 对 你 拥有 的 资源 的 访问 权限 。 如 果 你 要 使 用 准许 和 取消 操作 来 控制 
对 你 所 拥有 的 一 个 客体 的 所 有 访问 ,应 当 采 用 什么 样 的 数据 结构 和 算法 来 实现 准许 和 取消 操作 ? 


28. 
29, 
30. 
31. 
32， 
33. 
34. 


给 出 一 个 中 等 规模 的 局 域 网 (包含 一 些 子 网 ,但 不 跨 多 个 地 域 ) ,为 其 设计 一 个 安全 解决 方案 。 
分 析 一 个 具体 系统 的 安全 需求 ,并 给 出 相应 的 安全 策略 。 

如 何 理解 OSI 安全 体系 的 安全 机 制 和 安全 服务 之 间 的 对 应 关系 ? 

什么 是 可 信 计 算 基 ? 

详细 说 明 安全 标记 保护 级 的 可 信 计 算 基 的 功能 。 

结构 化 保护 级 的 主要 特征 有 哪些 ? 

收集 有 关 信 息 安全 的 定义 .标准 等 方面 的 最 新 概念 和 进展 。 可 以 从 下 面 的 网 站 开始 ， 


http://www. radium. ncsc. mil/tpep/ process/fag. html 


http://www. itsec. gov. uk 


http://www. cse-cst. gc. ca/ pub/criteria/ CTCPE 
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收集 资料 ,分 别 给 定 出 下 列 操作 系统 的 安全 等 级 ,并 说 明理 由 。 


《12 DOS 

(2) Windows 
(3) UNIX 
(4) Linux 
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